Sicherheitslücke in der Supermicro IPMI-Firmware, „Terrapin“, Oktober 2024

Offenlegung von Schwachstellen:

Der Zweck dieser Offenlegung besteht darin, die potenziellen Schwachstellen zu kommunizieren, die Supermicro betreffen und von einem externen Forscher gemeldet wurden.

Zusammenfassung:

A security issue has been discovered in select Supermicro motherboards.

CVE-IDSchweregradBeschreibung
48795Mäßig (5.9)

Die Terrapin-Angriffstechnik könnte dazu führen, dass beide Parteien über SSH kommunizieren und dabei weniger sichere Algorithmen wie ChaCha20-Poly1305 oder die auf der Website erwähnten CBC-Verschlüsselungen verwenden(https://terrapin-attack.com/).

Betroffene Produkte:

Supermicro BMC firmware in select X11, X12, H12, M12, X13, H13, and A3 motherboards (and CMM6 modules).

Abhilfe:

Alle betroffenen Supermicro -SKUs erfordern ein BMC-Update, um diese potenziellen Sicherheitslücken zu schließen.

Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Schwachstellen zu entschärfen. Bitte prüfen Sie die Versionshinweise für die Lösung.

Ausbeutung und öffentliche Bekanntmachungen:

Supermicro keine Fälle bekannt, in denen diese Schwachstellen in der Praxis missbräuchlich genutzt wurden.

Ressourcen: