Divulgación de vulnerabilidad:
El propósito de esta divulgación es comunicar las posibles vulnerabilidades que afectan Supermicro productos que fueron reportados por un investigador externo.
Reconocimiento:
Supermicro quisiera reconocer el trabajo realizado por Alexander Tereshkin, del equipo de investigación de seguridad ofensiva de NVIDIA, por descubrir una vulnerabilidad potencial en Supermicro Firmware IPMI de BMC.
Resumen:
Se ha descubierto un problema de seguridad en determinados Supermicro placas base. Este problema afecta al componente del servidor web de su BMC.
| ID de CVE | Gravedad | Descripción |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | Crítico | Esta vulnerabilidad potencial en Supermicro El error BMC puede deberse a un desbordamiento de búfer en la función "GetValue" del firmware, causado por la falta de comprobación del valor de entrada. Un usuario no autenticado puede enviar datos especialmente diseñados a la interfaz, lo que provocará un desbordamiento del búfer de la pila y puede dar lugar a la ejecución remota de código arbitrario en un BMC. |
Productos afectados:
Supermicro Firmware BMC en selección X11 , X12 , H12 , B12, X13 , H13 y placas base B13 (y módulos CMM6).
Remediación:
Todos los afectados Supermicro Las placas base requerirán una actualización del BMC para mitigar estas posibles vulnerabilidades.
Se ha creado una versión actualizada del firmware de BMC para mitigar estas posibles vulnerabilidades. Supermicro Actualmente se están probando y validando los productos afectados. Consulte las notas de la versión para obtener la solución.
Como solución provisional inmediata para reducir la superficie de ataque, se recomienda seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro No tiene conocimiento de ningún uso malicioso de estas vulnerabilidades en la práctica.