Vulnérabilité « regreSSHion » d'OpenSSH, juillet 2024

Divulgation des vulnérabilités :

Le but de cette divulgation est de communiquer les vulnérabilités potentielles affectant Supermicro produits signalés par un chercheur externe.

Résumé:

Une faille de sécurité a été découverte dans le firmware BMC de Select. Supermicro Cartes mères. Ce problème de sécurité, connu sous le nom de « RegreSSHion », affecte une condition de concurrence critique dans le gestionnaire de signaux d'OpenSSH. Cette vulnérabilité peut permettre l'exécution de code à distance (RCE) sans authentification avec les privilèges root.

CVE :

CVE-2024-6387
- Gravité : Élevée

Produits concernés :

Supermicro Micrologiciel BMC dans certains H13 , X13 , H12 , M12, et X12 cartes mères.

Remédiation :

Tous les concernés Supermicro Les références de cartes mères nécessiteront une mise à jour du firmware BMC pour atténuer ces vulnérabilités potentielles.

Un firmware BMC mis à jour a été créé pour atténuer ces vulnérabilités potentielles. Supermicro Nous procédons actuellement à des tests et à la validation des produits concernés. Veuillez consulter les notes de version pour connaître la solution.

D'après la réponse d'OpenSSH ( notes de version ), bien que la vulnérabilité ait été testée avec succès dans un environnement expérimental contrôlé, son exploitation a nécessité entre 6 et 8 heures de tentatives d'attaque continues à pleine capacité du serveur. En particulier pour le firmware BMC, une telle méthode d'attaque provoque des anomalies de connexion, entraînant finalement l'échec de l'attaque.

Supermicro Il est fortement conseillé d'utiliser des mesures appropriées pour sécuriser l'accès réseau des appareils, par mesure de précaution générale. Supermicro recommande de configurer l'environnement conformément à Supermicro Consignes de sécurité opérationnelle pour les systèmes afin d'utiliser les appareils dans un environnement informatique protégé. Veuillez consulter la page Web relative à la sécurité des produits pour plus d'informations et suivre les recommandations des manuels d'utilisation.

Exploitation et annonces publiques :

Supermicro n'a connaissance d'aucune utilisation malveillante de ces vulnérabilités en conditions réelles.

Ressources:

CVE-2024-6387

Infrastructure d'IA

Data Center Building Block Solutions® (DCBBS)

Fabrique d'IA

Edge IA

Stockage pour l'IA

Solutions d'IA pour l'industrie

Solutions NVIDIA

Solutions AMD

Solutions Intel

Solutions Arm AGI

Serveurs Rack

Processeur double

1 Processeur

Multiprocesseur

Serveurs GPU

Gamme GPU 8U/10U

Gamme GPU 4U/5U

2 Lignes GPU U

1 Lignes GPU U

Serveurs Multi-Noeuds

FlexTwin™

BigTwin®

GrandTwin®

TwinPro®

FatTwin®

Serveurs Lames

SuperBlade

MicroBlade

MicroCloud

Serveurs de stockage

Tous les systèmes de stockage

Flash NVMe

Chargement par le haut

JBOF

Stockage Petascale Grace

Stockage optimisé pour l'entreprise

Boîtiers de stockage JBOD

Cartes mères

Cartes pour serveur

Cartes pour station de travail

Cartes embarquées / IoT

Cartes pour PC de bureau / Jeux

Matrice de carte mères

SKUs mondiales

Châssis

Châssis 1U

Châssis 2U

Châssis 3U

Châssis 4U / Tour

Mid / Mini-Tour

Châssis embarqué / IoT

Racks mobiles / Kits disques

Boîtiers de stockage JBOD

SKUs mondiales

SuperRack

Service d'intégration des racks

Accessoires

Matrice des câbles

Matrice des cartes risers

Matrice des cartes de stockages AOC

Matrice des blocs alimentations

Matrice des dissipateurs thermiques

Matrice des ventilateurs

Racks mobiles / Kits disques

Façades avant du châssis

Stockage, E/S, sécurité

Systèmes d'IA et d'IoT en périphérie

Systèmes Edge compacts

Serveurs Edge compacts

Serveurs Edge montés en rack

Composants embarqués

Cartes mères embarquées

Châssis embarqué

Switches

Adaptateurs

SuperWorkstations

Plateforme de développement de l'IA à refroidissement liquide

Monoprocesseur

Double processeur

Ordinateur de bureau