Divulgación de vulnerabilidades:
El propósito de esta divulgación es comunicar las vulnerabilidades potenciales que afectan a los productos Supermicro y que fueron reportadas por un investigador externo.
Agradecimientos:
Supermicro desea agradecer el trabajo realizado por Alexander Tereshkin, del equipo de investigación de seguridad ofensiva de NVIDIA, por el descubrimiento de una posible vulnerabilidad en el firmware BMC IPMI Supermicro .
Resumen:
Se ha descubierto un problema de seguridad en determinadas placas base de Supermicro . Este problema afecta al componente de servidor web de su BMC.
| ID CVE | Gravedad | Descripción |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | Crítica | Esta vulnerabilidad potencial en el BMC de Supermicro puede provenir de un desbordamiento de búfer en la función "GetValue" del firmware que está causado por una falta de comprobación del valor de entrada. Un usuario no autenticado puede enviar datos especialmente diseñados a la interfaz, lo que desencadenará un desbordamiento del búfer de pila y puede conducir a la ejecución remota de código arbitrario en un BMC. |
Productos afectados:
Firmware BMC de Supermicro en placas base X11, X12, H12, B12, X13, H13 y B13 seleccionadas (y módulos CMM6).
Remediación:
Todas las SKU de placas base Supermicro afectadas requerirán una actualización del BMC para mitigar estas vulnerabilidades potenciales.
Se ha creado un firmware BMC actualizado para mitigar estas vulnerabilidades potenciales. Supermicro está actualmente probando y validando los productos afectados. Por favor, consulte las notas de la versión para la resolución.
Como solución inmediata para reducir la superficie de ataque, se aconseja seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro no tiene conocimiento de ningún uso malicioso de estas vulnerabilidades en la naturaleza.