ASUS

ASUSは、攻撃者がサーバーを乗っ取り、ブリックさせる可能性のある最大重大度の欠陥であるCVE-2024-54085に対応するセキュリティアップデートをリリースしました。

この欠陥は、HPE、ASUS、ASRockを含む10社以上のサーバーハードウェアベンダーが使用しているAmerican Megatrends InternationalのMegaRAC Baseboard Management Controller(BMC)ソフトウェアに影響します。

CVE-2024-54085の欠陥はリモートから悪用可能で、マルウェア感染、ファームウェアの変更、過電圧による不可逆的な物理的損傷を引き起こす可能性があります。

「ローカルまたはリモートの攻撃者は、リモート管理インターフェイス(Redfish)または内部ホストからBMCインターフェイス(Redfish)にアクセスすることで、この脆弱性を悪用することができます。

「この脆弱性を悪用することで、攻撃者は侵害されたサーバーをリモートで制御し、マルウェア、ランサムウェア、ファームウェアの改ざん、マザーボードコンポーネント(BMCまたは潜在的にはBIOS/UEFI)のブリック、潜在的なサーバーの物理的損傷(過電圧/ブリック)、被害者が止めることのできない無期限のリブートループを展開することができます。

AMIは2025年3月11日にパッチを含む速報をリリースしたが、影響を受けるOEMが自社製品に修正プログラムを実装するには時間が必要だった。

本日、ASUSは、このバグの影響を受けるマザーボード4モデルについて、CVE-2024-54085の修正プログラムをリリースしたと発表した。

ユーザーがアップグレードすべきアップデートと推奨BMCファームウェアバージョンは以下の通りです:

この脆弱性の重大性とリモートからの悪用可能性を考慮すると、できるだけ早くファームウェアのアップデートを実行することが極めて重要です。

最新のBMCファームウェアアップデート(.imaファイル)をダウンロードした後、ウェブインターフェース > メンテナンス > ファームウェアアップデートから適用し、ファイルを選択して「ファームウェアアップデートを開始」をクリックします。また、’Full Flash’ オプションをチェックすることをお勧めします。

MBCファームウェアアップデートの安全な実行方法やトラブルシューティングの詳細については、こちらのASUS FAQをご確認ください。