Los investigadores han identificado vulnerabilidades en la función Virtual Media de Supermicro . BMC/IPMI Virtual Media es una característica de la consola virtual que permite a los usuarios adjuntar una imagen de CD/DVD al servidor como una unidad de CD/DVD virtual. Estas vulnerabilidades incluyen la autenticación de texto sin formato, el cifrado débil y la omisión de la autenticación dentro de las capacidades de Virtual Media. Identificadas por los investigadores en el laboratorio, las vulnerabilidades no se han notificado en el entorno de ningún cliente.
Queremos dar las gracias al equipo de Eclypsium por llamar nuestra atención sobre este problema y por su colaboración en la validación del remedio.
La mejor práctica del sector es operar los BMC en una red privada aislada no expuesta a Internet, lo que reduciría, pero no eliminaría, la exposición identificada.
Otra posible solución provisional es desactivar los medios virtuales bloqueando el puerto TCP 623 y actualizar posteriormente al último parche de seguridad para el firmware BMC/IPMI. Siga estas instrucciones para desactivar el puerto TCP 623.
Las nuevas versiones del software BMC solucionan estas vulnerabilidades. Consulte a continuación los detalles sobre productos específicos.