Divulgación de vulnerabilidades:
El objetivo de esta divulgación es comunicar las posibles vulnerabilidades que afectan a Supermicro y que han sido comunicadas por un investigador externo.
Agradecimientos:
Supermicro desea reconocer el trabajo realizado por el investigador de la Universidad de Ciencias Aplicadas JAMK, Finlandia, por descubrir posibles vulnerabilidades en el firmware BMC IPMI de Supermicro.
Resumen:
Se han descubierto una serie de problemas de seguridad en determinadas placas Supermicro. Estos problemas pueden afectar al componente de servidor web de BMC IPMI.
| Número CVE | Descripción | Gravedad |
|---|---|---|
| IPMI BMC SSDP/UPnP web server directory traversal y acceso iKVM que permite el reinicio del host | Alta | |
| Interfaz web administrativa BMC IPMI Ejecución de comandos remotos en disquete virtual/USB | Alta | |
| Los dispositivos IPMI BMC utilizan claves de cifrado de archivos de configuración codificadas, lo que permite al atacante elaborar y cargar un paquete de archivos de configuración maliciosos para obtener la ejecución remota de comandos. | Alta |
Productos afectados:
BMC de Supermicro en placas base seleccionadas X11, M11, X12, H12, B12, X13, H13, B13 y C9X299.
Remediación:
Los SKU de placas base Supermicro afectados requerirán una actualización del BMC para mitigar estas posibles vulnerabilidades.
Se ha creado un firmware BMC actualizado para mitigar estas vulnerabilidades potenciales. Por favor, compruebe la actualización del firmware BMC y las notas de la versión para la resolución y póngase en contacto con el soporte técnico para más detalles.
Como solución inmediata para reducir la superficie de ataque, se aconseja seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro no tiene conocimiento de ningún anuncio público o uso malicioso de estas vulnerabilidades que se describe en este aviso.