Researchers have identified vulnerabilities in the Virtual Media function of Supermicro BMCs. BMC/IPMI Virtual Media is a feature of the Virtual Console that enables users to attach a CD/DVD image to the server as a virtual CD/DVD drive. These vulnerabilities include plaintext authentication, weak encryption, and authentication bypass within the Virtual Media capabilities. Identified by researchers in the lab, the vulnerabilities have not been reported in a customer environment.
Eclypsiumチームにこの問題をお知らせいただき、改善策の検証にご協力いただいたことに感謝いたします。
業界のベストプラクティスは、BMCをインターネットに露出しない分離されたプライベートネットワークで運用することです。
TCPポート623をブロックして仮想メディアを無効にし、後日、BMC/IPMIファームウェアの最新のセキュリティ修正プログラムにアップグレードすることも、暫定的な対処法として考えられます。ポートTCP 623を無効にするには、以下の手順に従ってください。
BMC ソフトウェアの新バージョンでは、これらの脆弱性に対応しています。特定の製品の詳細については、以下をご確認ください。