Des chercheurs ont identifié des vulnérabilités dans la fonction Virtual Media des Supermicro . BMC/IPMI Virtual Media est une fonctionnalité de la console virtuelle qui permet aux utilisateurs de connecter une image CD/DVD au serveur en tant que lecteur CD/DVD virtuel. Ces vulnérabilités comprennent l'authentification en texte clair, un cryptage faible et le contournement de l'authentification dans les capacités Virtual Media. Identifiées par des chercheurs en laboratoire, ces vulnérabilités n'ont pas été signalées dans un environnement client.
Nous tenons à remercier l'équipe d'Eclypsium d'avoir attiré notre attention sur ce problème et d'avoir collaboré à la validation de la remédiation.
La meilleure pratique de l'industrie consiste à faire fonctionner les BMC sur un réseau privé isolé non exposé à l'internet, ce qui réduirait, mais n'éliminerait pas, l'exposition identifiée.
Une autre solution provisoire consiste à désactiver le support virtuel en bloquant le port TCP 623, puis à mettre à jour le micrologiciel BMC/IPMI avec le dernier correctif de sécurité à une date ultérieure. Veuillez suivre les instructions suivantes pour désactiver le port TCP 623.
Les nouvelles versions du logiciel BMC corrigent ces vulnérabilités. Vous trouverez ci-dessous des informations détaillées sur des produits spécifiques.