Des chercheurs ont identifié des vulnérabilités dans la fonction Virtual Media des BMC Supermicro. La fonction Virtual Media BMC/IPMI est une fonctionnalité de la console virtuelle qui permet aux utilisateurs de monter une image CD/DVD sur le serveur comme un lecteur CD/DVD virtuel. Ces vulnérabilités incluent l'authentification en texte clair, un chiffrement faible et un contournement d'authentification au sein des capacités Virtual Media. Identifiées par des chercheurs en laboratoire, ces vulnérabilités n'ont pas été signalées dans un environnement client.
Nous tenons à remercier l'équipe d'Eclypsium d'avoir attiré notre attention sur ce problème et d'avoir collaboré à la validation de la remédiation.
La meilleure pratique de l'industrie consiste à faire fonctionner les BMC sur un réseau privé isolé non exposé à l'internet, ce qui réduirait, mais n'éliminerait pas, l'exposition identifiée.
Une autre solution provisoire consiste à désactiver le support virtuel en bloquant le port TCP 623, puis à mettre à jour le micrologiciel BMC/IPMI avec le dernier correctif de sécurité à une date ultérieure. Veuillez suivre les instructions suivantes pour désactiver le port TCP 623.
Les nouvelles versions du logiciel BMC corrigent ces vulnérabilités. Vous trouverez ci-dessous des informations détaillées sur des produits spécifiques.