Des chercheurs ont identifié des vulnérabilités dans la fonction Virtual Media des BMC Supermicro . Le média virtuel BMC/IPMI est une fonction de la console virtuelle qui permet aux utilisateurs d'attacher une image de CD/DVD au serveur en tant que lecteur de CD/DVD virtuel. Ces vulnérabilités comprennent l'authentification en texte clair, le chiffrement faible et le contournement de l'authentification dans le cadre des fonctionnalités de Virtual Media. Identifiées par des chercheurs en laboratoire, ces vulnérabilités n'ont pas été signalées dans un environnement client.
Nous tenons à remercier l'équipe d'Eclypsium d'avoir attiré notre attention sur ce problème et d'avoir collaboré à la validation de la remédiation.
La meilleure pratique de l'industrie consiste à faire fonctionner les BMC sur un réseau privé isolé non exposé à l'internet, ce qui réduirait, mais n'éliminerait pas, l'exposition identifiée.
Une autre solution provisoire consiste à désactiver le support virtuel en bloquant le port TCP 623, puis à mettre à jour le micrologiciel BMC/IPMI avec le dernier correctif de sécurité à une date ultérieure. Veuillez suivre les instructions suivantes pour désactiver le port TCP 623.
Les nouvelles versions du logiciel BMC corrigent ces vulnérabilités. Vous trouverez ci-dessous des informations détaillées sur des produits spécifiques.