華碩修補伺服器BMC重大資安漏洞,建議用戶立即更新韌體
華碩修補伺服器BMC重大資安漏洞,建議用戶立即更新韌體
·
華碩(ASUS)近日發布資安公告,針對旗下伺服器主機板產品修補一項嚴重的基板管理控制器(BMC)漏洞,該漏洞編號為CVE-2024-54085,CVSS風險評分達10分(滿分10分),屬於最高等級的資安威脅。
此漏洞源自於American Megatrends International(AMI)所開發的MegaRAC BMC韌體,該韌體廣泛應用於多家伺服器製造商的產品中,包括華碩、HPE、ASRock等。
根據資安公司Eclypsium的報告,攻擊者可透過Redfish遠端管理介面或BMC的內部主機介面,繞過身份驗證,進而取得伺服器的完全控制權。一旦成功利用此漏洞,攻擊者可能遠端部署惡意軟體、勒索軟體、竄改韌體,甚至造成主機板BMC或UEFI元件損壞,導致伺服器硬體受損或無限重啟,受害者無法阻止 。
AMI已於2025年3月11日釋出修補程式,華碩則於4月23日發布針對以下四款主機板的韌體更新,以修補此漏洞:
- Pro WS W790E-SAGE SE(版本1.1.57)
- Pro WS W680M-ACE SE(版本1.1.21)
- Pro WS WRX90E-SAGE SE(版本2.1.28)
- Pro WS WRX80E-SAGE SE WIFI(版本1.34.0)
華碩強烈建議伺服器管理員立即下載並安裝最新的BMC韌體更新,以防止可能的遠端攻擊。使用者可透過BMC的Web介面進行更新,步驟如下:
- 登入BMC的Web介面。
- 前往「Maintenance」頁面,選擇「Firmware Update」。
- 上傳下載的韌體檔案(副檔名為.ima),並勾選「Full Flash」選項,以確保完整更新。
- 點擊「Start Firmware Update」開始更新程序。
詳細的更新與故障排除指南,可參考華碩官方支援文件 。
由於此漏洞的嚴重性及其可能對伺服器造成的實質損害,建議所有使用受影響主機板的企業與機構,儘速完成韌體更新,以確保系統安全。