本週美国网路安全暨基础设施安全局（CISA）将3项资安弱点纳入已遭利用的漏洞名单（KEV），并要求联邦机构于7月16日完成修补，其中，最受到关注的是风险值达到满分的CVE-2024-54085。

这项漏洞最早在今年3月由资安业者Eclypsium揭露，存在于American Megatrends（AMI）基板管理控制器（BMC）系统MegaRAC，一旦攻击者成功利用，就有机会远端控制服务器，造成主机板BMC或UEFI元件损坏，甚至无限循环地重开机，而且，该漏洞的影响範围并非单一服务器，攻击者可透过资料中心环境发送恶意命令，导致所有服务器集体受害。

而对于漏洞的影响範围，当时研究人员提及影响华硕、永擎电子（ASRock Rack）、HPE部分型号的主机板，其中4月下旬华硕对于4款工作站主机板发布新版韧体，修补这项漏洞。

究竟这项漏洞如何遭到利用，CISA并未进一步说明，有待后续研究人员公布相关调查结果。

另外两项被列入KEV的漏洞，分别是：D-Link路由器DIR-859路径穿越漏洞CVE-2024-0769，以及Fortinet防火墙作业系统写死密码漏洞CVE-2019-6693，风险值为5.3、4.2。