Divulgation de la vulnérabilité :
Le but de cette divulgation est de communiquer les vulnérabilités potentielles affectant les produits Supermicro qui ont été signalées par un chercheur externe.
Remerciements :
Supermicro tient à saluer le travail effectué par le chercheur de l'Université des Sciences Appliquées de JAMK, Finlande, pour la découverte de potentielles vulnérabilités dans le firmware BMC IPMI de Supermicro.
Résumé :
Plusieurs problèmes de sécurité ont été découverts sur certaines cartes Supermicro. Ces problèmes peuvent affecter le composant serveur web de l'IPMI BMC.
| Numéro CVE | Description | Sévérité |
|---|---|---|
| IPMI BMC SSDP/UPnP traversée de répertoire du serveur web et accès iKVM permettant le redémarrage de l'hôte | Haut | |
| Interface web administrative IPMI BMC Exécution de commandes à distance sur disquette virtuelle/USB | Haut | |
| Les dispositifs BMC IPMI utilisent des clés de chiffrement de fichier de configuration codées en dur, ce qui permet à un pirate de créer et de télécharger un fichier de configuration malveillant afin d'obtenir une exécution de commande à distance. | Haut |
Produits concernés :
BMC Supermicro dans certaines cartes mères X11, M11, X12, H12, B12, X13, H13, B13 et C9X299.
Remédiation :
Les SKU de cartes mères Supermicro affectées nécessiteront une mise à jour du BMC pour atténuer ces vulnérabilités potentielles.
Une mise à jour du micrologiciel BMC a été créée pour atténuer ces vulnérabilités potentielles. Veuillez vérifier la mise à jour du micrologiciel BMC et les notes de mise à jour pour la résolution et contactez le support technique pour plus de détails.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le Guide des meilleures pratiques de configuration BMC et de configurer le délai d'attente de la session.
Exploitation et annonces publiques :
Supermicro n'a pas connaissance d'annonces publiques ou d'une utilisation malveillante de ces vulnérabilités décrites dans cet avis.