Los investigadores han identificado vulnerabilidades en la función Virtual Media de los BMC Supermicro . BMC/IPMI Virtual Media es una función de la Consola Virtual que permite a los usuarios adjuntar una imagen de CD/DVD al servidor como una unidad de CD/DVD virtual. Estas vulnerabilidades incluyen autenticación de texto plano, cifrado débil y elusión de autenticación dentro de las capacidades de Virtual Media. Identificadas por investigadores en el laboratorio, las vulnerabilidades no han sido reportadas en un entorno de cliente.
Queremos dar las gracias al equipo de Eclypsium por llamar nuestra atención sobre este problema y por su colaboración en la validación del remedio.
La mejor práctica del sector es operar los BMC en una red privada aislada no expuesta a Internet, lo que reduciría, pero no eliminaría, la exposición identificada.
Otra posible solución provisional es desactivar los medios virtuales bloqueando el puerto TCP 623 y actualizar posteriormente al último parche de seguridad para el firmware BMC/IPMI. Siga estas instrucciones para desactivar el puerto TCP 623.
Las nuevas versiones del software BMC solucionan estas vulnerabilidades. Consulte a continuación los detalles sobre productos específicos.