Supermicro 漏洞,2024年4月
漏洞披露:
本公告旨在通报由外部研究人员报告的、Supermicro 漏洞。
致谢:
Supermicro 感谢Binarly研究人员在发现Supermicro IPMI固件潜在漏洞方面所做的工作。
摘要
在部分Supermicro 发现了三个安全问题。这些问题影响Supermicro (Web UI)的Web服务器组件。
| 问题编号 | 严重性 | 问题类型 | 说明 |
|---|---|---|---|
| 高 | 命令注入攻击 | BMC 用于 SMTP 通知的后端命令将接受允许注入 BMC 操作系统命令的未净化凭据。必须使用具有管理员权限的 BMC 帐户才能登录。 Supermicro 评分: 7.2 (av:n/ac:l/pr:h/ui:n/s:u/c:h/i:h/a:h) |
| 高 | XSS 攻击 | 未对本地存储项目进行清除评估即对其进行中毒处理,从而允许在未经授权的情况下,代表具有管理员权限的登录用户账户创建用户账户。 Supermicro 评分: 8.3 (av:n/ac:h/pr:n/ui:r/s:c/c:h/i:h/a:h) |
| 高 | 命令注入攻击 | Supermicro上传并应用SNMP配置文件。该配置文件可用于从未经授权的动态库加载额外模块。恶意配置在BMC重启后仍会持续生效。需具备管理员权限的BMC账户。 Supermicro 评分: 8.3 (av:n/ac:h/pr:n/ui:r/s:c/c:h/i:h/a:h) |
受影响的产品:
Supermicro 功能现已应用于部分型号的主板(包括 X11、X12、X13、H11、H12、H13、M11、M12、B11 和 B12 系列)及 CMM 设备。
补救措施:
所有受影响Supermicro 型号均需更新BMC固件以缓解这些潜在漏洞。
已创建更新的BMC固件以缓解这些潜在漏洞。Supermicro 测试和验证受影响的产品。请查阅发布说明以获取解决方案。
开发和公告:
Supermicro 尚未Supermicro 这些漏洞在实际环境中被恶意利用的情况。