漏洞Supermicro BMC IPMI 固件,2023 年 12 月
漏洞披露:
本次揭露的目的是為了說明可能影響系統的潛在漏洞Supermicro 由外部研究人員報告的產品。
致謝:
Supermicro 謹此感謝芬蘭JAMK應用科技大學的研究人員,感謝他們發現了潛在的漏洞。 Supermicro BMC IPMI韌體。
概括:
已在部分系統中發現一些安全問題。 Supermicro 這些問題可能會影響 BMC IPMI 的 Web 伺服器元件。
| CVE編號 | 描述 | 嚴重程度 |
|---|---|---|
| IPMI BMC SSDP/UPnP Web 伺服器目錄遍歷和 iKVM 存取允許重新啟動主機 | 高的 | |
| IPMI BMC 管理 Web 介面虛擬軟碟/USB 遠端指令執行 | 高的 | |
| IPMI BMC 裝置使用硬編碼的設定檔加密金鑰,這使得攻擊者能夠建構並上傳惡意設定檔包,從而獲得遠端命令執行權限。 | 高的 |
受影響產品:
Supermicro 選定的 BMC X11 M11, X12 , H12 ,B12, X13 , H13 B13 和 C9X299 主機板。
補救措施:
做作的Supermicro 主機板 SKU 需要進行 BMC 更新以緩解這些潛在漏洞。
為緩解這些潛在漏洞,我們已發布更新的 BMC 韌體。請查看 BMC 韌體更新和發行說明以了解解決方案,並聯絡技術支援以取得更多詳細資訊。
為了立即減少攻擊面,建議遵循BMC 設定最佳實踐指南並設定會話逾時。
剝削和公開聲明:
Supermicro 目前尚未發現任何公開聲明或惡意利用本公告中所述漏洞的情況。