Divulgación de vulnerabilidades:
El objetivo de esta divulgación es comunicar las posibles vulnerabilidades que afectan a Supermicro y que han sido comunicadas por un investigador externo.
Agradecimientos:
Supermicro agradecer el trabajo realizado por el investigador de la Universidad de Ciencias Aplicadas JAMK, Finlandia, por descubrir posibles vulnerabilidades en el firmware IPMI Supermicro .
Resumen:
Se han detectado varios problemas de seguridad en determinadas Supermicro . Estos problemas pueden afectar al componente del servidor web de BMC IPMI.
| Número CVE | Descripción | Gravedad |
|---|---|---|
| IPMI BMC SSDP/UPnP web server directory traversal y acceso iKVM que permite el reinicio del host | Alta | |
| Interfaz web administrativa BMC IPMI Ejecución de comandos remotos en disquete virtual/USB | Alta | |
| Los dispositivos IPMI BMC utilizan claves de cifrado de archivos de configuración codificadas, lo que permite al atacante elaborar y cargar un paquete de archivos de configuración maliciosos para obtener la ejecución remota de comandos. | Alta |
Productos afectados:
Supermicro en placas base X11, M11, X12, H12, B12, X13, H13, B13 y C9X299 seleccionadas.
Remediación:
Las referencias Supermicro afectadas requerirán una actualización del BMC para mitigar estas posibles vulnerabilidades.
Se ha creado un firmware BMC actualizado para mitigar estas vulnerabilidades potenciales. Por favor, compruebe la actualización del firmware BMC y las notas de la versión para la resolución y póngase en contacto con el soporte técnico para más detalles.
Como solución inmediata para reducir la superficie de ataque, se aconseja seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro no Supermicro conocimiento de ningún anuncio público ni uso malintencionado de las vulnerabilidades descritas en este aviso.