최근 여러 서버 제조업체에서 사용되는 AMI MegaRAC 베이스보드 관리 컨트롤러(BMC)에서 치명적인 보안 취약점이 발견되었다. 이 취약점은 Redfish 관리 인터페이스의 인증을 우회하여 공격자가 서버를 완전히 장악할 수 있는 심각한 위협을 초래한다. Eclypsium 연구팀은 공격자가 이 취약점을 이용해 원격으로 서버를 제어하고, 멀웨어 및 랜섬웨어 배포, 펌웨어 변조, BMC 및 BIOS/UEFI 손상까지 가능하다고 경고했다. 이번 글에서는 CVE-2024-54085 취약점의 원인과 영향, 그리고 Criminal IP를 활용한 효과적인 탐지 및 방어 전략에 대해 살펴보겠다.
CVE-2024-54085 취약점의 개요 및 영향
취약점 개요
CVE-2024-54085는 2023년 발견된 인증 우회 취약점(CVE-2023-34329)의 패치 분석 과정에서 새롭게 발견되었다. MegaRAC SP-X 2024-08-27 이전 버전이 영향을 받으며, HPE Cray XD670, Asus RS720A-E11-RS24U 등의 서버 제품이 취약한 것으로 확인되었다.
해당 취약점의 원인은 Redfish 인터페이스의 host-interface-support-module.lua 스크립트에서 HTTP 헤더 값 검증 오류 때문이다. 공격자는 X-Server-Addr 값을 변경하거나 내부 IP 주소를 사용하여 인증을 우회할 수 있다.
보안 위협
- 원격으로 서버 제어 및 장악 가능
- 멀웨어 및 랜섬웨어 배포
- 펌웨어 변조 및 주요 부품(BMC, BIOS/UEFI) 손상
- 데이터센터 전체 운영 마비 가능 (무한 재부팅 공격)
Eclypsium 연구팀은 전 세계적으로 1,000개 이상의 MegaRAC SP-X Redfish 인스턴스가 인터넷에 노출되었으며, 내부 네트워크를 통한 공격도 가능하다는 점에서 보안 위험이 매우 크다고 경고했다.
Criminal IP를 통한 AMI MegaRAC BMC 취약점 탐지
Criminal IP Asset Search는 인터넷에 노출된 MegaRAC BMC 관련 자산을 탐지하고, 보안 위협을 평가하는 데 효과적으로 활용될 수 있다. 아래의 두 가지 검색 쿼리를 활용하면 취약한 자산을 신속하게 찾아낼 수 있다.
허니팟 포함된 MegaRAC SP-X 탐지 쿼리
Criminal IP Search Query: title: MegaRAC SP-X
이 쿼리는 허니팟(Honeypot)을 포함한 MegaRAC SP-X 자산을 검색한다. 허니팟은 보안 연구 및 공격자 분석을 위한 미끼 시스템이므로, 실제 자산과 구분해야 한다.
2025년 3월 27일 기준으로 Criminal IP에서 검색된 노출된 MegaRAC SP-X 자산은총 1,449건이었다.
이 IP 주소는 검색 결과 중 하나로, 오픈된 포트가 수십 개 이상이다. 이는 허니팟에서 흔히 발생하는 포트들을 보여주며, 실질적인 자산과는 다른 특성을 가질 수 있다.
허니팟 제외된 MegaRAC SP-X 탐지 쿼리
Criminal IP Search Query: ssl_subject_organization: “American Megatrends Incorporated” title: MegaRAC SP-X
이 쿼리는 “American Megatrends Incorporated” 인증서를 가진 자산만 검색한다. 이를 통해 기업의 네트워크 환경에서 인터넷에 진짜로 노출된 자산을 파악할 수 있다.
2025년 3월 27일 기준으로 Criminal IP에서 검색된 MegaRAC SP-X 관련 자산은 328건이었다. 이 자산들은 허니팟을 제외한 실제 노출된 자산들로, 공격자들이 침투할 가능성이 있는 실제 자산들이다.
이렇게 Criminal IP Asset Search를 활용하여 MegaRAC BMC의 취약한 자산을 실시간으로 탐지하고, 허니팟을 제외한 실제 자산을 파악하는 것은 보안 방어에 중요하다. 이를 통해 공격자들이 사용하는 취약점을 사전에 차단하고, 빠르게 대응할 수 있는 환경을 마련할 수 있다.
FAQ – 자주 묻는 질문
Q1. MegaRAC BMC란 무엇인가요?
BMC(Baseboard Management Controller)는 서버의 메인 운영 체제가 꺼져 있을 때도 서버를 관리할 수 있도록 해주는 마이크로컨트롤러다. 이를 통해 원격에서 서버 유지보수 및 진단 작업이 가능하다. 관리자는 IPMI(지능형 플랫폼 관리 인터페이스) 또는 Redfish를 통해 운영체제를 재설치하거나, 서버를 재시작하거나, 펌웨어를 업데이트할 수 있습니다.
Q2. BMC 보안 강화를 위한 권고 사항은 어떤 게 있나요?
미국 CISA, NSA와 Eclypsium은 BMC 보안을 강화하기 위해 다음과 같은 조치를 권고하고 있습니다.
- Redfish, IPMI 및 BMC 인터페이스를 인터넷에 직접 노출하지 않기
- BMC 접근은 별도의 관리 네트워크에서만 가능하도록 구성하기
- 방화벽 및 ACL 적용으로 관리자 접근 제한하기
- 최신 펌웨어로 업데이트하고, 정기적으로 점검하기
- BMC 로그 모니터링으로 예상치 못한 계정 생성 및 이상 징후 탐지할 것
결론
BMC는 서버의 핵심 관리 시스템이므로, 그 취약점이 발생하면 데이터센터 전체가 위험에 처할 수 있다. 관리자들은 Criminal IP를 활용하여 지속적인 탐지와 모니터링을 수행하고, 신속하게 패치를 적용하는 등 보안 조치를 강화해야 한다. 이와 같은 취약점에 대한 대비가 미비할 경우, 데이터센터의 안전은 물론, 기업의 중요한 자산과 서비스까지도 위협받을 수 있기 때문이다.
관련하여 CVE-2025-24813: Apache Tomcat 의 원격 코드 실행 및 정보 유출 취약점 글을 참고할 수 있다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko), CSO(https://www.csoonline.com/article/3848376/critical-vulnerability-in-ami-megarac-bmc-allows-servers-takeover.html), Eclypsium(https://eclypsium.com/blog/ami-megarac-vulnerabilities-bmc-part-3/)
관련 글 :