Investigadores han identificado vulnerabilidades en la función de Medios Virtuales de los BMC de Supermicro. Los Medios Virtuales BMC/IPMI son una característica de la Consola Virtual que permite a los usuarios adjuntar una imagen de CD/DVD al servidor como una unidad de CD/DVD virtual. Estas vulnerabilidades incluyen autenticación en texto plano, cifrado débil y omisión de autenticación dentro de las capacidades de Medios Virtuales. Identificadas por investigadores en el laboratorio, las vulnerabilidades no han sido reportadas en un entorno de cliente.
Queremos dar las gracias al equipo de Eclypsium por llamar nuestra atención sobre este problema y por su colaboración en la validación del remedio.
La mejor práctica del sector es operar los BMC en una red privada aislada no expuesta a Internet, lo que reduciría, pero no eliminaría, la exposición identificada.
Otra posible solución provisional es desactivar los medios virtuales bloqueando el puerto TCP 623 y actualizar posteriormente al último parche de seguridad para el firmware BMC/IPMI. Siga estas instrucciones para desactivar el puerto TCP 623.
Las nuevas versiones del software BMC solucionan estas vulnerabilidades. Consulte a continuación los detalles sobre productos específicos.