10 su 10! Ora i criminali creano account Admin senza password sui server. Il CISA Avverte

Redazione RHC : 27 Giugno 2025 08:44

I criminali informatici hanno iniziato ad utilizzare attivamente una vulnerabilità critica che consente loro di ottenere il controllo completo di migliaia di server, compresi quelli che eseguono compiti chiave nei data center. Questo è quanto avverte l’Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture degli Stati Uniti.

Il problema è stato rilevato nel firmware AMI MegaRAC Baseboard Management Controller (BMC) sviluppato da American Megatrends International (AMI), utilizzato per la gestione remota di grandi parchi di server. Questo firmware è integrato nei microcontrollori sulle schede madri. Consentono agli amministratori di eseguire operazioni anche quando il sistema operativo non è in funzione o l’alimentazione è disattivata.

Attraverso questi controller, è possibile reinstallare i sistemi operativi, modificare le configurazioni e avviare applicazioni senza accesso fisico al server. Basta compromettere un solo controller per accedere alla rete interna e agli altri dispositivi dell’infrastruttura.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La vulnerabilità ha ottenuto l’identificatore CVE-2024-54085 e una valutazione massima di pericolo – 10/10. La sua essenza è che un aggressore può aggirare l’autenticazione semplicemente inviando una richiesta HTTP speciale al dispositivo vulnerabile. La vulnerabilità è stata rilevata dalla società Eclypsium e segnalata a marzo, con un exploit funzionante che consente di creare un account amministratore senza password. A quel tempo, non erano note attacchi reali.

Il 26 giugno, la vulnerabilità è stata inclusa nella lista ufficiale delle vulnerabilità sfruttate da CISA, il che indica l’inizio degli attacchi reali. Non sono stati resi noti dettagli su quanto sta accadendo, ma Eclypsium ritiene che la portata possa essere seria.

Secondo loro, gli aggressori possono utilizzare le vulnerabilità per inserire codice dannoso direttamente nella firmware BMC. Ciò rende l’attacco praticamente invisibile e il malware può sopravvivere anche alla reinstallazione del sistema o alla sostituzione dei dischi. Tali attacchi aggirano gli antivirus e i sistemi di monitoraggio e consentono inoltre di accendere, spegnere o riavviare il server indipendentemente dallo stato del sistema operativo.

È inoltre possibile rubare le credenziali, utilizzare il server come punto di ingresso nella rete rimanente e persino danneggiare la firmware per disabilitare l’apparecchiatura. Tutto ciò rende la minaccia particolarmente seria per le infrastrutture aziendali e cloud.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli