Offenlegung von Schwachstellen:
Der Zweck dieser Offenlegung besteht darin, die potenziellen Schwachstellen zu kommunizieren, die Supermicro betreffen und von einem externen Forscher gemeldet wurden.
Danksagung:
Supermicro die Arbeit des Forschers der JAMK University of Applied Sciences, Finnland, für die Entdeckung potenzieller Schwachstellen in Supermicro IPMI-Firmware würdigen.
Zusammenfassung:
Bei ausgewählten Supermicro wurden eine Reihe von Sicherheitsproblemen entdeckt. Diese Probleme können sich auf die Webserver-Komponente von BMC IPMI auswirken.
| CVE-Nummer | Beschreibung | Schweregrad |
|---|---|---|
| IPMI BMC SSDP/UPnP-Webserver-Verzeichnis-Traversal und iKVM-Zugang, der den Neustart des Hosts ermöglicht | Hoch | |
| IPMI BMC administrative Web-Schnittstelle virtuelle Floppy/USB Remote-Befehlsausführung | Hoch | |
| IPMI BMC-Geräte verwenden hartkodierte Verschlüsselungsschlüssel für Konfigurationsdateien, die es dem Angreifer ermöglichen, ein bösartiges Konfigurationsdateipaket zu erstellen und hochzuladen, um eine Remote-Befehlsausführung zu erlangen | Hoch |
Betroffene Produkte:
Supermicro in ausgewählten X11-, M11-, X12-, H12-, B12-, X13-, H13-, B13- und C9X299-Motherboards.
Abhilfe:
Betroffene Supermicro -SKUs erfordern ein BMC-Update, um diese potenziellen Sicherheitslücken zu schließen.
Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Schwachstellen zu entschärfen. Bitte prüfen Sie das BMC-Firmware-Update und die Versionshinweise auf die Lösung und wenden Sie sich für weitere Einzelheiten an den technischen Support.
Als sofortige Abhilfe, um die Angriffsfläche zu reduzieren, wird empfohlen, den BMC-Konfigurationsleitfaden für bewährte Praktiken zu folgen und eine Sitzungszeitüberschreitung zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro keine öffentlichen Bekanntmachungen oder böswilligen Verwendungen dieser in dieser Sicherheitsempfehlung beschriebenen Schwachstellen bekannt.