CISA将AMI的BMC固件满分漏洞列入KEV

本周美国网络安全暨基础设施安全局（CISA）将3项安全弱点纳入已遭利用的漏洞名单（KEV），并要求联邦机构于7月16日完成修补，其中，最受到关注的是风险值达到满分的CVE-2024-54085。

这项漏洞最早在今年3月由安全企业Eclypsium披露，存在于American Megatrends（AMI）基板管理控制器（BMC）系统MegaRAC，一旦攻击者成功利用，就有机会远程控制服务器，造成主板BMC或UEFI组件损坏，甚至无限循环地重开机，而且，该漏洞的影响范围并非单一服务器，攻击者可通过数据中心环境发送恶意命令，导致所有服务器集体受害。

而对于漏洞的影响范围，当时研究人员提及影响华硕、永擎电子（ASRock Rack）、HPE部分型号的主板，其中4月下旬华硕对于4款工作站主板发布新版固件，修补这项漏洞。

究竟这项漏洞如何遭到利用，CISA并未进一步说明，有待后续研究人员公布相关调查结果。

另外两项被列入KEV的漏洞，分别是：D-Link路由器DIR-859路径穿越漏洞CVE-2024-0769，以及Fortinet防火墙操作系统写死密码漏洞CVE-2019-6693，风险值为5.3、4.2。