Supermicro IPMI 韌體中的漏洞,2023年12月
漏洞披露:
本公告旨在說明由外部研究人員通報、可能影響Supermicro 潛在漏洞。
致謝:
Supermicro 感謝芬蘭 JAMK 應用科技大學的研究人員,感謝其發現Supermicro IPMI 韌體中的潛在漏洞。
摘要:
已在部分Supermicro 發現若干安全問題。這些問題可能會影響 BMC IPMI 的網頁伺服器元件。
| CVE 編號 | 說明 | 嚴重程度 |
|---|---|---|
| IPMI、BMC、SSDP/UPnP 網頁伺服器的目錄遍歷漏洞,以及 iKVM 存取權限,可導致主機重新開機 | 高 | |
| IPMI BMC 管理網頁介面虛擬軟碟/USB 遠端指令執行 | 高 | |
| IPMI BMC 裝置使用硬編碼的配置檔加密金鑰,這使得攻擊者能夠製作並上傳惡意配置檔套件,藉此取得遠端命令執行權限 | 高 |
受影響的產品:
Supermicro 適用於特定型號的X11、M11、X12、H12、B12、X13、H13、B13 及 C9X299 主機板。
補救措施:
受影響的Supermicro 型號需進行 BMC 更新,以減輕這些潛在漏洞的影響。
我們已發布更新的 BMC 韌體,以解決這些潛在的漏洞。請參閱 BMC 韌體更新及發行說明以了解解決方案,並聯絡技術支援以獲取更多詳細資訊。
作為立即減少攻擊面的臨時解決方案,建議遵循 《BMC 配置最佳實踐指南》 並設定連線超時設定。
漏洞利用與公告:
Supermicro 任何關於本安全通報中所描述之漏洞的公開公告,亦未Supermicro 該漏洞遭惡意利用的情況。