OpenSSH „regreSSHion“-Sicherheitslücke, Juli 2024

OpenSSH "regreSSHion" Sicherheitslücke, Juli 2024

Offenlegung von Schwachstellen:

Der Zweck dieser Offenlegung besteht darin, die potenziellen Schwachstellen zu kommunizieren, die Supermicro betreffen und von einem externen Forscher gemeldet wurden.

Zusammenfassung:

In der BMC-Firmware ausgewählter Supermicro wurde eine Sicherheitslücke entdeckt. Dieses als „RegreSSHion“ bezeichnete Sicherheitsproblem betrifft die kritische Race Condition des Signal-Handlers in OpenSSH. Diese Sicherheitslücke kann zu einer nicht authentifizierten Remote-Code-Ausführung (RCE) mit Root-Rechten führen.

CVE:

6387
- Schweregrad: Hoch

Betroffene Produkte:

Supermicro -Firmware in ausgewählten H13-, X13-, H12-, M12- und X12-Motherboards.

Abhilfe:

Alle betroffenen Supermicro -SKUs erfordern ein BMC-Firmware-Update, um diese potenziellen Sicherheitslücken zu schließen.

Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Sicherheitslücken zu beheben. Supermicro und validiert derzeit die betroffenen Produkte. Die Lösung finden Sie in den Versionshinweisen.

Laut der Antwort von OpenSSH(Release Notes) wurde die Schwachstelle zwar erfolgreich in einer kontrollierten Experimentierumgebung getestet, aber die Ausnutzung der Schwachstelle dauerte etwa 6 bis 8 Stunden kontinuierlicher Angriffsversuche bei maximalem Serverdurchsatz. Insbesondere bei BMC-Firmware im Allgemeinen führt eine solche Angriffsmethode zu Verbindungsanomalien, die letztlich zum Scheitern des Angriffs führen.

Supermicro empfiehlt Supermicro , als allgemeine Sicherheitsvorkehrung geeignete Maßnahmen zur Sicherung des Netzwerkzugriffs auf Geräte zu ergreifen. Supermicro , die Umgebung gemäß den Sicherheitsrichtlinien Supermicro für die Systeme zu konfigurieren, damit die Geräte in einer geschützten IT-Umgebung betrieben werden können. Weitere Informationen finden Sie auf der Webseite zur Produktsicherheit. Befolgen Sie außerdem die Empfehlungen in den Produkthandbüchern.

Ausbeutung und öffentliche Bekanntmachungen:

Supermicro keine Fälle bekannt, in denen diese Schwachstellen in der Praxis missbräuchlich genutzt wurden.

Ressourcen:

6387

Rackmount-Server

1U-Doppelprozessor

2U-Doppelprozessor

Einzelner Prozessor

Mehrprozessor

Produkt-Familien

GPU-Server

8U/10U GPU-Linien

4U/5U GPU-Linien

2U-GPU-Linien

1U-GPU-Linien

Zwillingsserver

FlexTwin™.

BigTwin®.

GrandTwin®.

TwinPro®.

FatTwin®.

Blade-Server

SuperBlade®

MicroBlade®

MicroCloud

Speicher-Server

Alle Speichersysteme

All-Flash NVMe

Top-Loading Storage

JBOF

Petascale Grace-Speicher

Unternehmensoptimierter Speicher

JBOD-Storage-Gehäuse

Hauptplatinen

Server-Boards

Arbeitsplatz-Boards

Eingebettete / IoT-Karten

Desktop-/Gaming-Boards

Motherboard-Matrix

Globale SKUs

Fahrgestell

1U-Gehäuse

2U-Gehäuse

3U-Gehäuse

4U / Tower-Gehäuse

Mid-/Mini-Tower

Eingebettetes / IoT-Gehäuse

Mobile Racks / Drive Kits

JBOD-Storage-Gehäuse

Globale SKUs

SuperRack®.

Entwicklung von Rechenzentrumslösungen (DCSE)

Rack-Integrationsdienst

Zubehör

Kabel-Matrix

Riser-Karten-Matrix

Speicher-AOC-Matrix

Stromversorgungsmatrix

Kühlkörper-Matrix

System-Lüfter-Matrix

Mobile Racks / Drive Kits

Frontseitige Gehäuseabdeckungen

Speicherung, E/A, Sicherheit

Edge KI IoT-Systeme

Kompakte Kantensysteme

Kompakte Edge-Server

Rackmontierte Edge-Server

Eingebettete Komponenten

Eingebettete Motherboards

Eingebettetes Fahrgestell

Schalter

Adapter

SuperWorkstations

Flüssigkeitsgekühlte KI

Einzelprozessor

Dual-Prozessor

Supero™ Spiellösungen

KI

Data Center Building Block Solutions® (DCBBS)

KI

Rand KI

KI Lagerung

NVIDIA-Lösungen

AMD Lösungen