Divulgación de vulnerabilidades:
El objetivo de esta divulgación es comunicar las posibles vulnerabilidades que afectan a Supermicro y que han sido comunicadas por un investigador externo.
Agradecimientos:
Supermicro agradecer el trabajo realizado por Alexander Tereshkin, del equipo de investigación de seguridad ofensiva de NVIDIA, por descubrir una posible vulnerabilidad en el firmware IPMI Supermicro .
Resumen:
Se ha detectado un problema de seguridad en determinadas Supermicro . Este problema afecta al componente del servidor web de su BMC.
| ID CVE | Gravedad | Descripción |
|---|---|---|
| 36435 SMC-2023110008 | Crítica | Esta posible vulnerabilidad en Supermicro puede deberse a un desbordamiento del búfer en la función «GetValue» del firmware, causado por la falta de comprobación del valor de entrada. Un usuario no autenticado puede enviar datos especialmente diseñados a la interfaz, lo que desencadenará un desbordamiento del búfer de pila y puede conducir a la ejecución remota de código arbitrario en un BMC. |
Productos afectados:
Firmware Supermicro en determinadas placas base X11, X12, H12, B12, X13, H13 y B13 (y módulos CMM6).
Remediación:
Todas las referencias Supermicro afectadas requerirán una actualización BMC para mitigar estas posibles vulnerabilidades.
Se ha creado un firmware BMC actualizado para mitigar estas posibles vulnerabilidades. Supermicro probando y validando actualmente los productos afectados. Por favor, consulte las notas de la versión para conocer la solución.
Como solución inmediata para reducir la superficie de ataque, se aconseja seguir la Guía de mejores prácticas de configuración de BMC y configurar el tiempo de espera de la sesión.
Explotación y anuncios públicos:
Supermicro no Supermicro constancia de ningún uso malicioso de estas vulnerabilidades en la red.