Supermicro BMC IPMI 韌體中的漏洞,2023 年 12 月
漏洞披露:
本揭露旨在傳達外部研究人員所報告的、可能影響 Supermicro 產品的潛在漏洞。
鳴謝:
Supermicro 謹此感謝芬蘭 JAMK 應用科學大學研究人員在發現 Supermicro BMC IPMI 韌體潛在漏洞方面所做的工作。
摘要:
在部分 Supermicro 主機板中發現了多個安全問題。這些問題可能會影響 BMC IPMI 的網頁伺服器元件。
| CVE編號 | 描述 | 嚴重性 |
|---|---|---|
| IPMI BMC SSDP/UPnP 網頁伺服器目錄遍歷漏洞與 iKVM 存取權限,允許重新啟動主機 | 高 | |
| IPMI BMC 管理網頁介面虛擬軟碟機/USB 遠端指令執行 | 高 | |
| IPMI BMC裝置採用硬編碼的配置檔案加密金鑰,使攻擊者得以構建並上傳惡意配置檔案套件,從而實現遠端指令執行。 | 高 |
受影響產品:
部分 X11、M11、X12、H12、B12、X13、H13、B13 和 C9X299 主機板中的 Supermicro BMC。
修復:
受影響的 Supermicro 主機板 SKU 將需要進行 BMC 更新以緩解這些潛在漏洞。
已發布新版 BMC 韌體以緩解這些潛在漏洞。請查閱 BMC 韌體更新及發行說明以獲取解決方案,並聯繫技術支援以獲取更多詳細資訊。
為立即降低攻擊面,建議遵循 BMC 配置最佳實踐指南 並設定會話時限。
剝削與公告:
Supermicro 尚未發現本公告中所述漏洞的任何公開聲明或惡意使用情況。