Supermicro IPMI 固件漏洞,2023年12月
漏洞披露:
本公告旨在通报由外部研究人员报告的、Supermicro 漏洞。
致谢:
Supermicro 感谢芬兰JAMK应用科学大学研究人员所做的工作,该研究人员发现了Supermicro IPMI固件中存在的潜在漏洞。
摘要
在部分Supermicro 发现若干安全问题。这些问题可能影响BMC IPMI的Web服务器组件。
| CVE编号 | 说明 | 严重性 |
|---|---|---|
| IPMI BMC SSDP/UPnP Web服务器目录遍历漏洞及iKVM访问漏洞,可导致主机被重启 | 高 | |
| IPMI BMC管理网页界面虚拟软盘/USB远程命令执行 | 高 | |
| IPMI BMC设备采用硬编码的配置文件加密密钥,攻击者可据此构造并上传恶意配置文件包,从而实现远程命令执行。 | 高 |
受影响的产品:
Supermicro 现已搭载于精选的X11、M11、X12、H12、B12、X13、H13、B13及C9X299主板系列中。
补救措施:
受影响Supermicro 型号需更新BMC固件以缓解这些潜在漏洞。
已创建新版BMC固件以缓解这些潜在漏洞。请查阅BMC固件更新及发布说明获取解决方案,并联系技术支持获取更多详情。
为立即降低攻击面,建议遵循 BMC配置最佳实践指南 并配置会话超时。
开发和公告:
Supermicro 尚未Supermicro 任何关于本公告所述漏洞的公开披露或恶意利用情况。