Offenlegung von Schwachstellen:
Der Zweck dieser Offenlegung ist es, die potenziellen Schwachstellen, die Supermicro-Produkte betreffen und von einem externen Forscher gemeldet wurden, mitzuteilen.
Danksagung:
Supermicro möchte die Arbeit anerkennen, die von einem Forscher der JAMK University of Applied Sciences, Finnland, geleistet wurde, indem er potenzielle Schwachstellen in der Supermicro BMC IPMI-Firmware entdeckte.
Zusammenfassung:
Eine Reihe von Sicherheitsproblemen wurde in ausgewählten Supermicro-Mainboards entdeckt. Diese Probleme können die Webserver-Komponente von BMC IPMI betreffen.
| CVE-Nummer | Beschreibung | Schweregrad |
|---|---|---|
| IPMI BMC SSDP/UPnP-Webserver-Verzeichnis-Traversal und iKVM-Zugang, der den Neustart des Hosts ermöglicht | Hoch | |
| IPMI BMC administrative Web-Schnittstelle virtuelle Floppy/USB Remote-Befehlsausführung | Hoch | |
| IPMI BMC-Geräte verwenden hartkodierte Verschlüsselungsschlüssel für Konfigurationsdateien, die es dem Angreifer ermöglichen, ein bösartiges Konfigurationsdateipaket zu erstellen und hochzuladen, um eine Remote-Befehlsausführung zu erlangen | Hoch |
Betroffene Produkte:
Supermicro BMC in ausgewählten X11-, M11-, X12-, H12-, B12-, X13-, H13-, B13- und C9X299-Hauptplatinen.
Abhilfe:
Betroffene Supermicro Motherboard-SKUs erfordern ein BMC-Update, um diese potenziellen Schwachstellen zu mindern.
Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Schwachstellen zu entschärfen. Bitte prüfen Sie das BMC-Firmware-Update und die Versionshinweise auf die Lösung und wenden Sie sich für weitere Einzelheiten an den technischen Support.
Als sofortige Abhilfe, um die Angriffsfläche zu reduzieren, wird empfohlen, den BMC-Konfigurationsleitfaden für bewährte Praktiken zu folgen und eine Sitzungszeitüberschreitung zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro sind keine öffentlichen Ankündigungen oder bösartige Nutzungen dieser Schwachstellen bekannt, die in diesem Advisory beschrieben sind.