AMI BMC 취약점 CVE-2024-54085 분석: 서버 원격 제어 및 브릭 위험

New Critical AMI BMC Vulnerability Enables Remote Server Takeover and Bricking

 

• 개요
  • AMI의 MegaRAC BMC(Baseboard Management Controller) 소프트웨어에서 치명적 보안 취약점(CVE-2024-54085) 발견
  • CVSS v4 기준 최고 심각도 점수인 10.0 부여
  • Eclypsium에 따르면 해당 취약점은 Redfish 인터페이스를 통한 인증 우회 가능성 존재
  • 로컬 또는 원격에서 인증을 우회하여 서버 전체를 제어할 수 있음
• 주요 영향
  • 인증 우회 후 공격자가 다음과 같은 행위 수행 가능
    • 원격 악성코드 또는 랜섬웨어 배포
    • 펌웨어 변조(BMC 또는 BIOS/UEFI 조작 포함)
    • BMC 또는 메인보드 브릭(brick) 유발
    • 전압 조작 또는 무한 재부팅 루프 발생
    • 서버 하드웨어 물리적 손상 가능성
  • 서비스 불가 상태(DoS) 지속 유발 및 재프로비저닝 전까지 정상 작동 불가
• 영향받는 주요 장비
  • HPE Cray XD670
  • Asus RS720A-E11-RS24U
  • ASRockRack 서버 제품군
  • 그 외 AMI 기반 BMC 소프트웨어를 사용하는 수십 개 제조사 제품 영향
• 과거 유사 취약점 연계 분석(BMC&C 시리즈)
  • CVE-2023-34329: HTTP 헤더 변조를 통한 인증 우회
  • CVE-2023-34330: Redfish 확장 기능을 통한 코드 삽입
  • CVE-2022-40242: 루트 셸 기본 자격 증명
  • CVE-2022-40259: Redfish API 통한 임의 코드 실행
  • CVE-2022-26872: 비밀번호 재설정 가로채기
  • 공통점: BMC 및 Redfish API를 통한 인증 우회, 시스템 전체 장악 가능
• 보안 패치 및 대응
  • AMI는 2025년 3월 11일 패치 발표
    • HPE 및 Lenovo는 자사 제품에 패치를 적용해 보안 업데이트 제공 중
  • 패치 적용에는 시스템 다운타임이 필요하므로 계획적 반영 필요
  • OEM이 수정 사항을 반영해 펌웨어 배포 시까지 최종 사용자는 직접 조치 불가
• 보안 권고
  • Redfish 인터페이스 접근 제어 강화 (IP 기반 ACL, VPN 전용화 등)
  • BMC 네트워크 세분화 및 외부 노출 차단
  • 펌웨어 서명 검증 및 무결성 점검 도입
  • EDR 및 SIEM 기반의 이상 징후 탐지 (무한 리부팅, 관리 포트 접근 탐지 등)
  • 관련 CVE 목록 기반 자산 식별 및 영향 범위 조사 수행
• 결론
  • AMI BMC는 BIOS 공급망의 최상위에 존재하며, 전 세계 수많은 서버 장비에 영향 미침
  • 해당 취약점은 단순 정보 탈취 수준을 넘는 물리적 시스템 파괴 가능성이 있는 매우 치명적인 위협
  • 특히 클라우드 사업자, 금융권, 정부기관 등 BMC 기능을 통한 원격 제어가 중요한 환경에서는 선제적 대응 필수