Offenlegung von Schwachstellen:
Der Zweck dieser Veröffentlichung ist es, die potenziellen Schwachstellen, die Supermicro betreffen und von einem externen Forscher gemeldet wurden, zu kommunizieren.
Danksagung:
Supermicro möchte die Arbeit des Forschers der JAMK University of Applied Sciences, Finnland, würdigen, der potenzielle Schwachstellen in der Supermicro BMC IPMI Firmware entdeckt hat.
Zusammenfassung:
Eine Reihe von Sicherheitsproblemen wurde in ausgewählten Supermicro entdeckt. Diese Probleme können die Webserver-Komponente von BMC IPMI betreffen.
| CVE-Nummer | Beschreibung | Schweregrad |
|---|---|---|
| IPMI BMC SSDP/UPnP-Webserver-Verzeichnis-Traversal und iKVM-Zugang, der den Neustart des Hosts ermöglicht | Hoch | |
| IPMI BMC administrative Web-Schnittstelle virtuelle Floppy/USB Remote-Befehlsausführung | Hoch | |
| IPMI BMC-Geräte verwenden hartkodierte Verschlüsselungsschlüssel für Konfigurationsdateien, die es dem Angreifer ermöglichen, ein bösartiges Konfigurationsdateipaket zu erstellen und hochzuladen, um eine Remote-Befehlsausführung zu erlangen | Hoch |
Betroffene Produkte:
Supermicro BMC in ausgewählten X11, M11, X12, H12, B12, X13, H13, B13 und C9X299 Motherboards.
Abhilfe:
Betroffene Supermicro Motherboard-SKUs erfordern ein BMC-Update, um diese potenziellen Schwachstellen zu beseitigen.
Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Schwachstellen zu entschärfen. Bitte prüfen Sie das BMC-Firmware-Update und die Versionshinweise auf die Lösung und wenden Sie sich für weitere Einzelheiten an den technischen Support.
Als sofortige Abhilfe, um die Angriffsfläche zu reduzieren, wird empfohlen, den BMC-Konfigurationsleitfaden für bewährte Praktiken zu folgen und eine Sitzungszeitüberschreitung zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro ist nicht bekannt, dass diese Schwachstellen, die in diesem Hinweis beschrieben sind, öffentlich bekannt gemacht oder böswillig ausgenutzt wurden.