Divulgación de vulnerabilidades:
El propósito de esta divulgación es comunicar las vulnerabilidades potenciales que afectan a los productos Supermicro y que fueron reportadas por un investigador externo.
Agradecimientos:
Supermicro desea agradecer el trabajo realizado por el investigador de la Universidad JAMK de Ciencias Aplicadas de Finlandia por descubrir posibles vulnerabilidades en el firmware BMC IPMI Supermicro .
Resumen:
Se han descubierto varios problemas de seguridad en determinadas placas Supermicro . Estos problemas pueden afectar al componente de servidor web de BMC IPMI.
| Número CVE | Descripción | Gravedad |
|---|---|---|
| IPMI BMC SSDP/UPnP web server directory traversal y acceso iKVM que permite el reinicio del host | Alta | |
| Interfaz web administrativa BMC IPMI Ejecución de comandos remotos en disquete virtual/USB | Alta | |
| Los dispositivos IPMI BMC utilizan claves de cifrado de archivos de configuración codificadas, lo que permite al atacante elaborar y cargar un paquete de archivos de configuración maliciosos para obtener la ejecución remota de comandos. | Alta |
Productos afectados:
BMC de Supermicro en placas base selectas X11, M11, X12, H12, B12, X13, H13, B13 y C9X299.
Remediación:
Las SKU de placas base Supermicro afectadas requerirán una actualización del BMC para mitigar estas vulnerabilidades potenciales.
Se ha creado un firmware BMC actualizado para mitigar estas vulnerabilidades potenciales. Por favor, compruebe la actualización del firmware BMC y las notas de la versión para la resolución y póngase en contacto con el soporte técnico para más detalles.
Como solución inmediata para reducir la superficie de ataque, se aconseja seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro no tiene conocimiento de ningún anuncio público o uso malicioso de estas vulnerabilidades que se describen en este aviso.