Supermicro BMC IPMI 韌體漏洞,2024 年 7 月
漏洞披露:
本揭露旨在傳達外部研究人員所報告的、可能影響 Supermicro 產品的潛在漏洞。
鳴謝:
Supermicro 謹此感謝 NVIDIA 攻擊性安全研究團隊的 Alexander Tereshkin 發現 Supermicro BMC IPMI 韌體中潛在的漏洞。
摘要:
已發現部分 Supermicro 主機板存在安全性問題。此問題影響其 BMC 的網頁伺服器元件。
| CVE ID | 嚴重性 | 描述 |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | 關鍵 | Supermicro BMC 中的此潛在漏洞可能源於韌體「GetValue」函數中的緩衝區溢位,這是由於缺乏對輸入值的檢查所致。 未經認證的使用者可向介面發送經過特殊設計的資料,此舉將觸發堆疊緩衝區溢位,並可能導致在遠端管理控制器(BMC)上執行任意遠端程式碼。 |
受影響產品:
Supermicro BMC 韌體存在於部分 X11、X12、H12、B12、X13、H13 和 B13 主機板中 (以及 CMM6 模組)。
修復:
所有受影響的 Supermicro 主機板 SKU 將需要進行 BMC 更新,以緩解這些潛在漏洞。
已建立更新的 BMC 韌體以緩解這些潛在漏洞。Supermicro 目前正在測試和驗證受影響的產品。請查閱發行說明以了解解決方案。
為立即降低攻擊面,建議遵循 BMC 配置最佳實踐指南 並設定會話時限。
剝削與公告:
Supermicro 尚未發現任何惡意利用這些漏洞的案例。