ASUS a publié des mises à jour de sécurité pour résoudre CVE-2024-54085, une faille de gravité maximale qui pourrait permettre aux attaquants de détourner et potentiellement de briquer des serveurs.
La faille affecte le logiciel MegaRAC Baseboard Management Controller (BMC) d’American Megatrends International, utilisé par plus d’une douzaine de fournisseurs de matériel serveur, dont HPE, ASUS et ASRock.
La faille CVE-2024-54085 est exploitable à distance, ce qui peut entraîner des infections de logiciels malveillants, des modifications du micrologiciel et des dommages physiques irréversibles dus à une surtension.
« Un attaquant local ou distant peut exploiter la vulnérabilité en accédant aux interfaces de gestion à distance (Redfish) ou à l’hôte interne de l’interface BMC (Redfish) », a expliqué Eclypsium dans un rapport connexe.
« L’exploitation de cette vulnérabilité permet à un attaquant de contrôler à distance le serveur compromis, de déployer à distance des logiciels malveillants, des ransomwares, des altérations du micrologiciel, des composants de la carte mère (BMC ou potentiellement BIOS/UEFI), des dommages physiques potentiels au serveur (surtension / brique) et des boucles de redémarrage indéfinies qu’une victime ne peut pas arrêter. »
Bien qu’AMI ait publié un bulletin accompagné de correctifs le 11 mars 2025, il a fallu du temps aux OEM concernés pour mettre en œuvre les correctifs sur leurs produits.
Aujourd’hui, ASUS a annoncé avoir publié des correctifs pour CVE-2024-54085 pour quatre modèles de cartes mères concernés par le bogue.
Les mises à jour et la version recommandée du micrologiciel BMC vers lesquelles les utilisateurs doivent effectuer la mise à niveau sont:
- PRO WS W790E-SAGE SE-version 1.1.57 (téléchargement à partir d’ici)
- PRO WS W680M-ACE SE-version 1.1.21 (télécharger à partir d’ici)
- PRO WS WRX90E-SAGE SE-version 2.1.28 (téléchargement à partir d’ici)
- Pro WS WRX80E-SAGE SE WIFI-version 1.34.0 (téléchargement à partir d’ici)
Compte tenu de la gravité de la vulnérabilité et de la possibilité d’effectuer une exploitation à distance, il est crucial d’effectuer la mise à jour du micrologiciel dès que possible.
Après avoir téléchargé la dernière mise à jour du micrologiciel BMC (.fichier ima), vous pouvez l’appliquer via l’interface Web > Maintenance > Mise à jour du micrologiciel, sélectionnez le fichier et cliquez sur » Démarrer la mise à jour du micrologiciel. »Il est également recommandé de cocher l’option « Flash intégral ».