Blog Blog

CVE‑2024‑54085

CVE‑2024‑54085

1. 🧩 Descripción general y contexto

CVE‑2024‑54085 es una vulnerabilidad crítica (CVSS 3.1 9.8 / CVSS 4.0 10.0 – máxima gravedad) que afecta a AMI MegaRAC SPx (firmware BMC) mediante un bypass de autenticación en la interfaz Redfish Host. Esto permite a un atacante no autenticado evadir por completo los mecanismos de seguridad del BMC y ejecutar comandos con privilegios elevados.

  • Contexto: Los BMCs (Baseboard Management Controllers) son chips encargados de la gestión "lights-out" de servidores y superan el nivel de sistema operativo, configurando hardware, red, arranque, sensores y control de energía. Queda claro que comprometer el BMC significa tener control total sobre el equipo y su entorno.
  • Importancia: CISA lo incluyó en su catálogo “Known Exploited Vulnerabilities” el 25 de junio 2025, con fecha límite de parche para el 16 de julio 2025. Es el primer BMC que llega a esta lista, subrayando su riesgo real en entornos críticos y centros de datos, incluyendo infraestructuras de IA.

2. 🔍 Detalles técnicos del funcionamiento

2.1 Redfish Host Interface

Redfish es una API moderna para gestión remota de servidores usando HTTP/REST y JSON. La interfaz "Host" permite que el propio servidor (OS/hypervisor) se comunique con el BMC para acciones de reinicio, actualización, control de salud, etc.

2.2 Mecanismo del fallo

El ataque consiste en manipular cabeceras HTTP en solicitudes Redfish. Cabeceras como X-Server-Addr o Host son evaluadas por el BMC para determinar si la petición proviene del host local:

El servidor (host) legítimo incluye cabeceras autorizadas.

El BMC confía en estas cabeceras para omitir autenticación.

Un atacante externo puede enviar tráfico HTTP manipulando esas cabeceras para aparentar ser el host.

El BMC omite la autenticación y ejecuta cualquier comando proporcionado.

2.3 Impacto del CVSS

  • AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – acceso remoto sin privilegios previos, sin interacción de usuario, con efectos graves sobre confidencialidad, integridad y disponibilidad.

3. ⚔️ Explotación y vectores de ataque

Vectores conocidos

  • Explotación remota vía red de gestión si el BMC Redfish está accesible desde Internet o red compartida.
  • Acceso lateral desde otros sistemas en red de gestión si no existe segmentación.

Potenciales objetivos

  • Infraestructura crítica: centros de datos, nubes privadas, clusters HPC, IA.
  • Dispositivos con firmware AMI vulnerable (MegaRAC SPx < 12.7 o < 13.5).
  • Equipos conectados a Internet sin segmentación ni firewall.

Proceso de explotación (paso a paso)

Detectar servidores con Redfish HTTP(S) abiertos.

Preparar petición POST/GET con cabeceras falsas (X‑Server‑Addr: 127.0.0.1 o apropiada).

Ejecutar solicitud a rutas Redfish privilegiadas (/redfish/v1/SessionService/Sessions o /redfish/v1/Managers/1/Actions/Manager.Reset).

BMC acepta la petición sin credenciales → devuelve respuesta 200 y activa el comando.

Desde aquí se puede controlar hardware, alterar firmware, reiniciar, brikear o comprometer OS.

Ejemplo de PoC en Python (simplificado)

https://github.com/CodeBugBox/CodeBugBox/blob/main/CVE%E2%80%912024%E2%80%9154085

4. 🛡️ Mitigación y soluciones

4.1 Parche oficial

  • AMI publicó actualización en AMI-SA-2025003 para MegaRAC SPx, parcheando validación de cabeceras.
  • NetApp publicó firmware corregido para dispositivos H300/H410 etc. .

✅ Acción inmediata: Aplicar el firmware proporcionado a todos los BMC afectados.

4.2 Mitigaciones adicionales

  • Segmentación de red: Aislar red de gestión de produksjon/Internet, solo permitir acceso desde una máquina de administración segura.
  • Firewalling restrictivo: Bloquear tráfico entrante HTTP(S) hacia puertos BMC salvo desde rangos autorizados.
  • Deshabilitar Redfish Host: Si no es necesario, podría desactivarse la interfaz vulnerable.
  • Monitoreo logs: Vigilar accesos inusuales a endpoints /redfish/... con cabeceras X-Server-Addr.
  • Detección en red: Firmas IPS/IDS basadas en peticiones con esas cabeceras (proveedores como Eclypsium).
  • MFA/limitar trust: Aunque bypass evita credenciales, reducir superficie de ataques es crítico.

4.3 Buenas prácticas futuras

  • Revisar firmware de BMC periódicamente.
  • Incluir BMC en inventario de vulnerabilidades y gestión continua.
  • Capacitar administradores de infraestructura en ataques a nivel firmware.

5. 🧠 Conclusión técnica e impacto

AspectoValoraciónGravedadCrítico. Acceso administrativo completo sin credenciales.Nivel de ataqueRemoto, sin autentificación ni interacción de usuario.ImpactoControl total del hardware/firmware. Posible bricking, persistencia invisible, movimiento lateral, ransomware.RecomendaciónActualización urgente de firmware en plazo: antes del 16/07/2025 (CISA KEV).

Este CVE marca un hito, al ser primer BMC incluido en la lista KEV. Es una llamada de atención global: los BMC son objetivos prioritarios de ataques dirigidos, especialmente en infraestructuras donde gobiernan clusters de IA o centros de datos.

6. 🚀 Reflexión final

CVE‑2024‑54085 no es solo un fallo técnico: revela una brecha estratégica en la ciberseguridad moderna. Los BMC, antaño considerados periféricos, hoy son puertas traseras que ponen en riesgo toda una infraestructura. Su corrupción permite que incluso si el sistema operativo está fortificado, el atacante actúa por debajo, invisiblemente y con permisos ilimitados.

La solución va más allá del parche: exige un cambio de paradigma. Inventario exhaustivo, parches tempranos, segmentación fuerte, monitoreo proactivo y una mentalidad de "seguridad de firmware" son ahora imperativos.

💡 El mensaje es claro: asegurar la capa BMC es asegurar la base de nuestra infraestructura.
No es opcional. Es vital.

Resumen

  • Describe: Bypass de autenticación en Redfish de BMC MegaRAC SPx.
  • Detalles: Cabeceras HTTP mal validadas permiten eludir controles.
  • Explotación: Ataque remoto sin privilegios, control total del servidor.
  • Mitigación: Parche oficial, segmentación, firewall, monitoreo.
  • Conclusión: CVE con impacto profundo en seguridad de infraestructuras, especialmente para centros de datos e IA.
Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Old school