Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de MegaRAC SP-X van fabrikant AMI waardoor de authenticatie is te omzeilen en er toegang tot het systeem kan worden verkregen. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De MegaRAC SP-X is een baseboard management controller (BMC) waarmee het mogelijk is om servers op afstand te beheren en monitoren.

Het beveiligingslek waarvan misbruik wordt gemaakt, CVE-2024-54085, betreft een authentication bypass. Door het versturen van een speciaal geprepareerd request kan een remote aanvaller de authenticatie omzeilen en zo toegang krijgen tot de server die via de BMC wordt beheerd. Vervolgens is het mogelijk om malware of ransomware uit te rollen, firmware te manipuleren, het moederbord te beschadigen of een denial of service te veroorzaken, aldus securitybedrijf Eclypsium dat een analyse van de kwetsbaarheid publiceerde.

Eclypsium merkt op dat AMI in maart patches voor fabrikanten beschikbaar heeft gemaakt (pdf). Die fabrikanten moeten vervolgens updates waarin de fix verwerkt zit voor hun producten uitrollen. Zo bieden Lenovo en HPE inmiddels ook updates aan. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Het Amerikaanse cyberagentschap CISA geeft geen details over de waargenomen aanvallen.