OpenSSH-„regreSSHion“-Schwachstelle, Juli 2024

Offenlegung der Sicherheitslücke:

Zweck dieser Offenlegung ist es, auf die potenziellen Schwachstellen hinzuweisen, die Folgendes betreffen: Supermicro Produkte, über die ein externer Forscher berichtete.

Zusammenfassung:

In der BMC-Firmware von Select wurde eine Sicherheitslücke entdeckt. Supermicro Motherboards. Diese Sicherheitslücke, bekannt als „RegreSSHion“, betrifft die kritische Signalbehandlungs-Race-Condition in OpenSSH. Sie kann zur Ausführung von nicht authentifiziertem Remote-Code (RCE) mit Root-Rechten führen.

CVE:

CVE-2024-6387
- Schweregrad: Hoch

Betroffene Produkte:

Supermicro BMC-Firmware in ausgewählten H13 , X13 , H12 , M12 und X12 Motherboards.

Abhilfe:

Alle Betroffenen Supermicro Für die Behebung dieser potenziellen Sicherheitslücken ist ein BMC-Firmware-Update erforderlich.

Um diese potenziellen Sicherheitslücken zu beheben, wurde eine aktualisierte BMC-Firmware entwickelt. Supermicro Die betroffenen Produkte werden derzeit getestet und validiert. Die Lösung entnehmen Sie bitte den Versionshinweisen.

Laut OpenSSH ( Versionshinweise ) konnte die Schwachstelle zwar in einer kontrollierten Testumgebung erfolgreich ausgenutzt werden, die Ausnutzung erforderte jedoch etwa sechs bis acht Stunden kontinuierlicher Angriffsversuche bei maximaler Serverauslastung. Insbesondere bei BMC-Firmware führt eine solche Angriffsmethode in der Regel zu Verbindungsabbrüchen und letztendlich zum Scheitern des Angriffs.

Supermicro Es wird dringend empfohlen, geeignete Maßnahmen zum Schutz des Netzwerkzugriffs auf Geräte als allgemeine Sicherheitsvorkehrung zu ergreifen. Supermicro empfiehlt, die Umgebung entsprechend zu konfigurieren Supermicro Betriebsrichtlinien zur Produktsicherheit für die Systeme, um den Betrieb der Geräte in einer geschützten IT-Umgebung zu gewährleisten. Weitere Informationen finden Sie auf der Webseite zur Produktsicherheit . Beachten Sie außerdem die Empfehlungen in den Produkthandbüchern.

Ausbeutung und öffentliche Bekanntmachungen:

Supermicro ist kein Fall bekannt, in dem diese Sicherheitslücken in freier Wildbahn missbräuchlich genutzt wurden.

Ressourcen:

CVE-2024-6387

KI Infrastruktur

Data Center Building Block Solutions® (DCBBS)

KI Fabrik

Rand KI

KI Lagerung

Industrie KI Lösungen

NVIDIA- Lösungen

AMD Lösungen

Intel -Lösungen

Arm AGI Solutions

Rackmount-Server

Dualprozessor

Einzelprozessor

Mehrprozessor

GPU-Server

8U/10U GPU-Reihen

4U/5U GPU-Linien

2U-GPU-Leitungen

1U-GPU-Leitungen

Doppelserver

FlexTwin™

BigTwin®

GrandTwin®

TwinPro®

FatTwin®

Blade-Server

SuperBlade®

MicroBlade®

MicroCloud

Speicherserver

Alle Speichersysteme

All-Flash NVMe

Toplader- Aufbewahrung

JBOF

Petascale Grace Storage

Für Unternehmen optimierter Speicher

JBOD-Speichergehäuse

Motherboards

Serverplatinen

Arbeitsplatztafeln

Embedded-/IoT-Boards

Desktop-/Gaming-Mainboards

Motherboard-Matrix

Globale SKUs

Chassis

1U-Gehäuse

2U-Gehäuse

3U-Gehäuse

4U / Tower-Gehäuse

Mittel-/Mini-Turm

Eingebettetes / IoT-Chassis

Mobile Gestelle / Antriebssätze

JBOD-Speichergehäuse

Globale SKUs

SuperRack®

Rack-Integrationsservice

Zubehör

Kabelmatrix

Riser-Kartenmatrix

Speicher-AOC-Matrix

Stromversorgungsmatrix

Kühlkörpermatrix

Systemlüftermatrix

Mobile Gestelle / Antriebssätze

Frontgehäuseblenden

Speicher, E/A, Sicherheit

Rand KI und IoT-Systeme

Kompakte Kantensysteme

Kompakte Edge-Server

Rackmount Edge-Server

Eingebettete Komponenten

Eingebettete Motherboards

Eingebettetes Chassis

Schalter

Adapter

SuperWorkstations

Flüssigkeitsgekühlt KI Entwicklungsplattform

Einzelprozessor

Dualprozessor

Desktop