脆弱性開示:
この開示の目的は、以下に影響を与える可能性のある脆弱性を伝えることです。 Supermicro 外部の研究者によって報告された製品。
まとめ:
selectのBMCファームウェアにセキュリティ脆弱性が発見されましたSupermicro マザーボード。このセキュリティ上の問題は「RegreSSHion」として知られており、OpenSSHの重要なシグナルハンドラにおける競合状態に影響を与えます。この脆弱性により、root権限での認証なしのリモートコード実行(RCE)が発生する可能性があります。
CVE:
- CVE-2024-6387
- 重症度:高
対象製品:
Supermicro 選択したBMCファームウェアH13 、 X13 、 H12 M12、 X12 マザーボード。
修復:
影響を受けたすべての人Supermicro これらの潜在的な脆弱性を軽減するためには、マザーボードのSKUごとにBMCファームウェアのアップデートが必要になります。
これらの潜在的な脆弱性を軽減するために、BMCファームウェアのアップデート版が作成されました。 Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。
OpenSSHの回答(リリースノート)によると、この脆弱性は管理された実験環境で正常にテストされたものの、悪用するにはサーバーの最大スループットで約6~8時間の連続攻撃試行が必要だったとのことです。特にBMCファームウェア全般において、このような攻撃手法は接続異常を引き起こし、最終的には攻撃の失敗につながります。
Supermicro 一般的なセキュリティ対策として、デバイスへのネットワークアクセスを保護するための適切な措置を講じることを強く推奨します。 Supermicro 環境を以下のように構成することを推奨します。 Supermicro 本製品セキュリティ運用ガイドラインは、デバイスを保護されたIT環境で運用するためのものです。詳細については、製品セキュリティのウェブページを参照し、製品マニュアルに記載されている推奨事項も遵守してください。
搾取および公的な告知:
Supermicro これらの脆弱性が実際に悪用された事例は確認されていません。