Sunucuların uzaktan yönetimini sağlayan temel donanım birimlerinden biri olan Baseboard Management Controller (BMC), yeni bir güvenlik tehdidinin merkezinde yer alıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu bileşende tespit edilen ve aktif şekilde istismar edildiği doğrulanan kritik bir açığa karşı sistem yöneticilerini uyardı. Uzmanlara göre, söz konusu zafiyet geniş çaplı veri sızıntılarına ve kalıcı sistem manipülasyonlarına zemin hazırlayabilir.
Basit bir HTTP isteği ile yetkisiz erişim
CVE-2024-54085 numarasıyla tanımlanan güvenlik açığı, işletim sistemi çalışmasa bile etkin olan BMC birimlerini hedef alıyor. Saldırganların yalnızca tek bir HTTP isteğiyle kimlik doğrulama sürecini atlatarak sistem üzerinde tam yetkili kullanıcı hesabı oluşturabilmesi, tehdidin boyutunu artırıyor.
İlk olarak siber güvenlik firması Eclypsium tarafından tespit edilen zafiyetin, uzun süre düşük önemde değerlendirilmesine karşın, CISA’nın güncel değerlendirmesiyle durum değişti. Artık istismar edildiği tespit edilen açık, özellikle büyük veri merkezleri için öncelikli güvenlik tehdidi hâline gelmiş durumda.
Kritik risk: Kalıcı erişim ve donanım kontrolü
BMC mimarisinin doğası gereği sistem belleğine ve ağ arayüzlerine erişimi bulunması, saldırganlara yalnızca cihazlara erişmekle kalmayıp; kötü amaçlı yazılımlar yerleştirme, şifreleme protokollerini aşma ve veri aktarımı gerçekleştirme fırsatı da veriyor. Dahası, bu tür erişim yolları sistemin tamamen yeniden kurulması durumunda dahi kalıcı olabiliyor.
Uzmanlar, bu düzeyde gelişmiş saldırı tekniklerinin çoğunlukla devlet destekli gruplar tarafından kullanıldığını belirtiyor. Şu an için doğrudan bir kaynak tespit edilemese de geçmiş örnekler göz önüne alındığında, tehdidin arkasında ileri düzey aktörlerin olabileceği değerlendiriliyor.
Etkilenen donanımlar ve tavsiye edilen önlemler
Açığın, AMI MegaRAC yazılımını kullanan Redfish tabanlı yönetim arayüzlerinde bulunduğu bildiriliyor. Bu yazılım; AMD, Fujitsu, Gigabyte, NVIDIA, Qualcomm ve SuperMicro gibi pek çok üreticinin donanımlarında kullanılıyor. Bazı markalar hızla güvenlik güncellemeleri sunsa da tüm ürün yelpazesi için yama tamamlanmış değil.
CISA, potansiyel olarak etkilenen sistemlerin titizlikle denetlenmesini ve üretici firmalarla doğrudan temasa geçilerek acil güvenlik desteği alınmasını öneriyor. Ayrıca bu tür donanım düzeyindeki açıklara karşı savunma altyapılarının kapsamlı biçimde yeniden yapılandırılması gerektiği vurgulanıyor.
