10 su 10! Ora i criminali creano account Admin senza password sui server. Il CISA Avverte

I criminali informatici hanno iniziato ad utilizzare attivamente una vulnerabilità critica che consente loro di ottenere il controllo completo di migliaia di server, compresi quelli che eseguono compiti chiave nei data center. Questo è quanto avverte l’Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture degli Stati Uniti.

Il problema è stato rilevato nel firmware AMI MegaRAC Baseboard Management Controller (BMC) sviluppato da American Megatrends International (AMI), utilizzato per la gestione remota di grandi parchi di server. Questo firmware è integrato nei microcontrollori sulle schede madri. Consentono agli amministratori di eseguire operazioni anche quando il sistema operativo non è in funzione o l’alimentazione è disattivata.

Attraverso questi controller, è possibile reinstallare i sistemi operativi, modificare le configurazioni e avviare applicazioni senza accesso fisico al server. Basta compromettere un solo controller per accedere alla rete interna e agli altri dispositivi dell’infrastruttura.

La vulnerabilità ha ottenuto l’identificatore CVE-2024-54085 e una valutazione massima di pericolo – 10/10. La sua essenza è che un aggressore può aggirare l’autenticazione semplicemente inviando una richiesta HTTP speciale al dispositivo vulnerabile. La vulnerabilità è stata rilevata dalla società Eclypsium e segnalata a marzo, con un exploit funzionante che consente di creare un account amministratore senza password. A quel tempo, non erano note attacchi reali.

Il 26 giugno, la vulnerabilità è stata inclusa nella lista ufficiale delle vulnerabilità sfruttate da CISA, il che indica l’inizio degli attacchi reali. Non sono stati resi noti dettagli su quanto sta accadendo, ma Eclypsium ritiene che la portata possa essere seria.

Secondo loro, gli aggressori possono utilizzare le vulnerabilità per inserire codice dannoso direttamente nella firmware BMC. Ciò rende l’attacco praticamente invisibile e il malware può sopravvivere anche alla reinstallazione del sistema o alla sostituzione dei dischi. Tali attacchi aggirano gli antivirus e i sistemi di monitoraggio e consentono inoltre di accendere, spegnere o riavviare il server indipendentemente dallo stato del sistema operativo.

È inoltre possibile rubare le credenziali, utilizzare il server come punto di ingresso nella rete rimanente e persino danneggiare la firmware per disabilitare l’apparecchiatura. Tutto ciò rende la minaccia particolarmente seria per le infrastrutture aziendali e cloud.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.