Divulgación de vulnerabilidad:
El propósito de esta divulgación es comunicar las posibles vulnerabilidades que afectan Supermicro productos que fueron reportados por un investigador externo.
Reconocimiento:
Supermicro quisiera reconocer el trabajo realizado por el investigador de la Universidad de Ciencias Aplicadas JAMK, Finlandia, por descubrir posibles vulnerabilidades en Supermicro Firmware IPMI de BMC.
Resumen:
Se han descubierto varios problemas de seguridad en determinados Supermicro placas. Estos problemas pueden afectar al componente del servidor web de BMC IPMI.
| Número CVE | Descripción | Gravedad |
|---|---|---|
| Recorrido de directorios del servidor web IPMI BMC SSDP/UPnP y acceso iKVM que permite el reinicio del host. | Alto | |
| Ejecución remota de comandos desde disquete virtual/USB con interfaz web administrativa IPMI BMC | Alto | |
| Los dispositivos IPMI BMC utilizan claves de cifrado de archivos de configuración codificadas, lo que permite al atacante crear y cargar paquetes de archivos de configuración maliciosos para obtener la ejecución remota de comandos. | Alto |
Productos afectados:
Supermicro BMC en selecto X11 , M11, X12 , H12 , B12, X13 , H13 Placas base B13 y C9X299.
Remediación:
Afectado Supermicro Las placas base requerirán una actualización del BMC para mitigar estas posibles vulnerabilidades.
Se ha creado una actualización del firmware de BMC para mitigar estas posibles vulnerabilidades. Consulte la actualización del firmware de BMC y las notas de la versión para obtener la solución y póngase en contacto con el soporte técnico para obtener más información.
Como solución provisional inmediata para reducir la superficie de ataque, se recomienda seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro No tiene conocimiento de ningún anuncio público ni de ningún uso malicioso de estas vulnerabilidades que se describen en este aviso.