Des chercheurs ont identifié des vulnérabilités dans la fonction Virtual Media de Supermicro Les BMC/IPMI Virtual Media sont une fonctionnalité de la console virtuelle permettant aux utilisateurs de connecter une image CD/DVD au serveur en tant que lecteur CD/DVD virtuel. Ces vulnérabilités incluent l'authentification en clair, un chiffrement faible et le contournement de l'authentification au sein des fonctionnalités Virtual Media. Identifiées par des chercheurs en laboratoire, ces vulnérabilités n'ont pas encore été signalées chez les clients.
Nous tenons à remercier l'équipe d'Eclypsium d'avoir porté ce problème à notre attention et pour sa collaboration à la validation de la solution.
Les meilleures pratiques du secteur consistent à exploiter les BMC sur un réseau privé isolé, non exposé à Internet, ce qui réduirait, mais n'éliminerait pas, l'exposition identifiée.
Une autre solution provisoire possible consiste à désactiver le support virtuel en bloquant le port TCP 623, puis à installer ultérieurement le correctif de sécurité pour le firmware BMC/IPMI. Veuillez suivre ces instructions pour désactiver le port TCP 623.
Les nouvelles versions du logiciel BMC corrigent ces vulnérabilités. Consultez les informations ci-dessous pour plus de détails sur les produits concernés.