Supermicro IPMI 韌體漏洞,2023年12月
漏洞披露:
本公告旨在通報由外部研究人員所揭露、可能影響Supermicro 安全漏洞。
鳴謝:
Supermicro 感謝芬蘭JAMK應用科技大學研究人員所做的工作,該研究人員發現了Supermicro IPMI韌體中的潛在漏洞。
摘要:
在部分Supermicro 發現若干安全問題。這些問題可能影響 BMC IPMI 的網頁伺服器元件。
| CVE編號 | 描述 | 嚴重性 |
|---|---|---|
| IPMI BMC SSDP/UPnP 網頁伺服器目錄遍歷漏洞與 iKVM 存取權限,允許重新啟動主機 | 高 | |
| IPMI BMC 管理網頁介面虛擬軟碟機/USB 遠端指令執行 | 高 | |
| IPMI BMC裝置採用硬編碼的配置檔案加密金鑰,使攻擊者得以構建並上傳惡意配置檔案套件,從而實現遠端指令執行。 | 高 |
受影響產品:
Supermicro 搭載於精選的 X11、M11、X12、H12、B12、X13、H13、B13 及 C9X299 主機板中。
修復:
受影響的Supermicro 型號需進行 BMC 更新,以減輕這些潛在漏洞的風險。
已發布新版 BMC 韌體以緩解這些潛在漏洞。請查閱 BMC 韌體更新及發行說明以獲取解決方案,並聯繫技術支援以獲取更多詳細資訊。
為立即降低攻擊面,建議遵循 BMC 配置最佳實踐指南 並設定會話時限。
剝削與公告:
Supermicro 任何關於本公告所述漏洞的公開披露或惡意利用行為。