長期使用PC 的用戶應該遇到過系統啟動時出現American Megatrends International 的相關信息，AMI 是BIOS 和UEFI 系列軟體的領先供應商，不少PC 和伺服器採用AMI 提供的控制器軟體。

日前AMI 發佈公告透露其MegaRAC 基板控制器軟體中存在的高風險安全漏洞，這枚安全漏洞編號CVE-2024-54085，CVSS 評分為滿分也就是10/10 分，凸顯這枚漏洞造成的潛在危害。

根據說明CVE-2024-54085 可以被遠端利用，進而導致感染惡意軟體、篡改固件以及透過提高電壓造成過壓對主機板造成不可逆的物理損壞，目前使用AMI 軟體的主機板製造商正在陸續發布更新用來修復漏洞。

AMI 範例圖

以下是關於此漏洞的具體說明：

本機或遠端攻擊者可以透過存取遠端管理介面Redfish 或內部主機的BMC 介面來利用此漏洞。成功利用漏洞，駭客可以遠端控制受感染的伺服器，遠端部署惡意軟體、勒索軟體、篡改韌體、破壞主機板元件(BMC 或潛在的BIOS/UEFI)、造成潛在的實體伺服器損壞以及裝置循環重新啟動。

華碩日前發布更新對四款受影響的主機板進行修復：

PRO WS W790E-SAGE SE – v1.1.57：https://www.asus.com/motherboards-components/motherboards/workstation/pro-ws-w790e-sage-se/helpdesk_bios?model2Name=Pro-WS-W790E-SAGE-SE

PRO WS W680M-ACE SE – v1.1.21：https://www.asus.com/motherboards-components/motherboards/workstation/pro-ws-w680m-ace-se/helpdesk_bios?model2Name=Pro-WS-W680M-ACE-SE

PRO WS WRX90E-SAGE SE – v2.1.28：https://www.asus.com/motherboards-components/motherboards/workstation/pro-ws-wrx90e-sage-se/helpdesk_bios?model2Name=Pro-WS-WRX90E-SAGE-SE

Pro WS WRX80E-SAGE SE WIFI – v1.34.0: https://www.asus.com/motherboards-components/motherboards/workstation/pro-ws-wrx80e-sage-se-wifi/helpdesk_bios?model2Name=Pro-WS-WRXSE-EFISAGE

如果你使用的PC 或伺服器採用華碩以上類型的主機板則應該立即下載韌體更新手動進行升級，升級方法如下：下載BMC 的ima 格式韌體後訪問Web 介面、維護、韌體更新、選擇ima 檔案點擊開始韌體更新，AMI 建議用戶勾選完全刷新選項徹底升級韌體。

為什麼以上BMC 韌體發布日期是3 月？這些韌體是否是最新版：

以上韌體均為最新版，基於安全考慮通常OEM 會先發布固件，延遲一段時間後再透露漏洞，避免大多數用戶未升級的情況下，駭客利用韌體逆向工程找出漏洞然後發起針對性攻擊。

注意：以上四款主機板皆屬於華碩工作站設備採用的高效能主機板，目前尚不清楚華碩或其他主機板製造商是否有採用搭載AMI 軟體的一般消費級主機板，並建議用戶追蹤主機板製造商網站看看是否有更新資訊。