Divulgación de vulnerabilidades:
El propósito de esta divulgación es comunicar las posibles vulnerabilidades que afectan a los productos Supermicro y que fueron informadas por un investigador externo.
Agradecimientos:
Supermicro desea reconocer el trabajo realizado por Alexander Tereshkin, del equipo de investigación de seguridad ofensiva de NVIDIA, por descubrir una posible vulnerabilidad en el firmware BMC IPMI de Supermicro.
Resumen:
Se ha descubierto una vulnerabilidad de seguridad en determinadas placas base Supermicro. Este problema afecta al componente de servidor web de su BMC.
| ID CVE | Gravedad | Descripción |
|---|---|---|
| 36435 SMC-2023110008 | Crítica | Esta posible vulnerabilidad en el BMC de Supermicro puede deberse a un desbordamiento de búfer en la función “GetValue” del firmware, causado por la falta de verificación del valor de entrada. Un usuario no autenticado puede enviar datos especialmente diseñados a la interfaz, lo que desencadenará un desbordamiento del búfer de pila y puede conducir a la ejecución remota de código arbitrario en un BMC. |
Productos afectados:
Firmware de BMC de Supermicro en placas base seleccionadas X11, X12, H12, B12, X13, H13 y B13 (y módulos CMM6).
Remediación:
Todas las SKU de placas base Supermicro afectadas requerirán una actualización de BMC para mitigar estas vulnerabilidades potenciales.
Se ha creado un firmware BMC actualizado para mitigar estas posibles vulnerabilidades. Supermicro está actualmente probando y validando los productos afectados. Consulte las notas de la versión para la resolución.
Como solución inmediata para reducir la superficie de ataque, se aconseja seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro no tiene conocimiento de ningún uso malicioso de estas vulnerabilidades en la práctica.