Los investigadores han identificado vulnerabilidades en la función de medios virtuales de Supermicro BMC. La función de Medios Virtuales de BMC/IPMI permite a los usuarios conectar una imagen de CD/DVD al servidor como una unidad virtual. Estas vulnerabilidades incluyen autenticación en texto plano, cifrado débil y omisión de autenticación dentro de las capacidades de Medios Virtuales. Identificadas por investigadores en el laboratorio, estas vulnerabilidades no se han reportado en entornos de clientes.
Queremos agradecer al equipo de Eclypsium por haber llamado nuestra atención sobre este problema y por su colaboración en la validación de la solución.
La mejor práctica del sector consiste en operar los BMC en una red privada aislada, no expuesta a Internet, lo que reduciría, pero no eliminaría, la exposición identificada.
Otra posible solución provisional consiste en deshabilitar los medios virtuales bloqueando el puerto TCP 623 y, posteriormente, actualizar el firmware de BMC/IPMI a la última versión con el parche de seguridad más reciente. Siga estas instrucciones para deshabilitar el puerto TCP 623.
Las nuevas versiones del software de BMC solucionan estas vulnerabilidades. Consulte a continuación los detalles sobre productos específicos.