Une vulnérabilité grave (CVE‑2024‑54085) a été identifiée dans le firmware MegaRAC SPx d’American Megatrends (AMI). Elle permet à un attaquant distant d’outrepasser l’authentification du BMC (Baseboard Management Controller) via l’interface Redfish, ouvrant ainsi la porte à une prise de contrôle totale des serveurs. fortiguard.com+15nvd.nist.gov+15greenbone.net+15
1. Une vulnérabilité à sévérité maximale (CVSS = 10/10)
Classée auth bypass via spoofing (CWE‑290) cisa.gov+3greenbone.net+3thehackernews.com+3
Score CVSS v3.1 : 9,8/10, v4.0 : 10,0/10 it-connect.fr+2nvd.nist.gov+2socradar.io+2
Elle permet à un attaquant non authentifié, sans interaction avec l’utilisateur, de créer un compte administrateur BMC via une requête HTTP id spoofée scworld.com+12nvd.nist.gov+12it-connect.fr+12.
2. Une exploitation déjà confirmée
La vulnérabilité est présente dans des milliers de serveurs, incluant des marques telles que HPE, Asus, Supermicro, Gigabyte, Nvidia, AMD, ARM greenbone.net+3runzero.com+3it-connect.fr+3.
La CISA l’a ajoutée à son catalogue KEV (Known Exploited Vulnerabilities)** le 25 juin 2025**, reconnaissant une exploitation active en cours it-connect.fr+9cisa.gov+9runzero.com+9.
Plus de 1 000 instances vulnérables ont été détectées sur Internet en mars 2025, selon Eclypsium thomas-krenn.com+10bleepingcomputer.com+10it-connect.fr+10.
3. Quelles menaces concrètes pour les entreprises ?
Contrôle total à distance du serveur (allumer, éteindre, redémarrer, installer des malwares…).
Altération du firmware (UEFI/BMC) pouvant générer des boucles de redémarrage ou rendre le matériel inutilisable (bricking).
Persistance furtive : le BMC fonctionne en dehors du système d’exploitation, échappant aux protections end-point traditionnelles. it-connect.frbleepingcomputer.com
4. Qui est concerné et comment s’en prémunir ?
Serveurs potentiellement vulnérables :
MegaRAC SPx versions ≤ 12.7 ou ≤ 13.5, intégrées dans les infrastructures de cloud, datacenters et serveurs d’entreprise cveIdentifiant standardisé d'une vulnérabilité connue. CVE-2023-40005 pour une faille Windows. MITRE.org+15it-connect.fr+15nvd.nist.gov+15.
Mesures à appliquer immédiatement :
Appliquer le patch publié le 11 mars 2025 par AMI sur tous les BMC concernés scworld.com+7runzero.com+7networkworld.com+7.
Restreindre l’accès réseau au BMC (VLAN sécurisé, ACLListe définissant les droits d'accès à des ressources. Restreindre l'accès à un fichier à certains groupes utilisateurs. RFC 4949, IP filtres).
Mettre en place des systèmes de supervision détectant les comportements anormaux (comptes créés, redémarrages fréquents, tentatives sur Redfish).
Intégrer cette faille dans les flux de gestion des vulnérabilités et les cycles de patching (on‑premise et cloud).
Suivre les enjeux de gouvernance et des mises à jour auprès des constructeurs OEM concernés.
5. Pourquoi cette faille est-elle un tournant pour la sécurité des infrastructures ?
CVE‑2024‑54085 marque une première historique : c’est la première vulnérabilité BMC à figurer dans le catalogue KEV de la CISA, confirmant que ces composants critiques deviennent des vecteurs d’attaque majeurs thomas-krenn.com+15eclypsium.com+15it-connect.fr+15.
Les BMC, véritables mini-ordinateurs embarqués indépendants du système principal, représentent un point d’accès privilégié pour les APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE, grâce à leur accès bas-niveau aux serveurs, invisibilité à la sécurité traditionnelle, et capacité à survivre aux redémarrages et changements d’OS it-connect.fr.
Conclusion : un impératif critique pour les équipes infra
La découverte et l’exploitation active de CVE‑2024‑54085 imposent une réponse urgente :
Inventorier tous les BMC MegaRAC SPx de votre environnement.
Appliquer immédiatement les correctifs et bloquer l’accès externe.
Intégrer les BMC dans vos systèmes de supervision et processus SOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI.
Former vos équipes IT à l’importance des couches matérielles dans la posture de sécurité.
En savoir plus et rester informé
Bulletin AMI SA‑2025‑003 (11 mars 2025) scworld.com+15nvd.nist.gov+15it-connect.fr+15scworld.com+4runzero.com+4eclypsium.com+4cisa.gov
Alerte CISA KEV (25 juin 2025) runzero.com+7cisa.gov+7eclypsium.com+7
Analyse complète d’Eclypsium : impact et recommandation thomas-krenn.com+9bleepingcomputer.com+9runzero.com+9