CVE-2024-54085: AMI SPx Vulnerability Scores Critical CVSS 10
2025/03/12 SecurityOnline — BIOS/BMC ファームウェアを提供する AMI が発表したのは、同社製品に影響を及ぼす複数の脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性の深刻度には幅があるが、悪用に成功した攻撃者による、任意のコード実行/サービス拒否/リモートからの認証バイパスなどの可能性が生じるという。
1つ目の脆弱性 CVE-2024-54084 (CVSS:7.5) は、AMI の AptioV BIOS ファームウェアに存在する。この脆弱性の悪用に成功したローカル・アクセスを持つ攻撃者は、競合状態を悪用することで、任意のコード実行の可能性を手にする。
2つ目の脆弱性である CVE-2024-12546 (CVSS:3.5) は、各種の AMI ファームウェア製品で使用される、オープンソースの UEFI 実装である EDK2 に影響を及ぼすものだ。この脆弱性の悪用に成功したリモートの攻撃者は、整数オーバーフローまたはラップアラウンドを引き起こし、サービス拒否を引き起こす可能性を得る。
3つ目の脆弱性である CVE-2024-54085 (CVSS:10:Critical) は、AMI の SPx Baseboard Management Controller (BMC) ソフトウェアに存在するものだ。この脆弱性の悪用に成功したリモートの攻撃者は、Redfish ホスト・インターフェイスを介した認証バイパスを達成する。その結果として、機密性/整合性/可用性が毀損し、影響を受けるシステム全体の侵害へといたる可能性が生じる。
すでに AMI は、アップデートをリリースし、これらの脆弱性に対処している。AptioV および EDK2 の脆弱性は、バージョン BKC_5.38 で修正されている、また、SPx の脆弱性は、バージョン SPx_12.7+/SPx_13.5 で修正されている。
AMI ファームウェアおよび BMC ソフトウェアの、ユーザーに対して強く推奨されるのは、速やかに最新バージョンへと更新し、これらの脆弱性に関連するリスクを軽減することである。
AMI MegaRAC SPx に、深刻な脆弱性が発生しています。ご利用のチームは、アップデートをご確認下さい。なお、本文中の2つ目の脆弱性 CVE-2024-12546 ですが、2025年3月13日時点で、ベンダのアドバイザリから削除されており、NVD でも Rejected となっているようです。よろしければ、関連記事として 2023/06/15 の「CISA/NSA の共同指針:BMC セキュリティ強化ガイドラインを発表」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.