Vulnérabilité OpenSSH "regreSSHion", juillet 2024

Vulnérabilité "regreSSHion" d'OpenSSH, juillet 2024

Divulgation de la vulnérabilité :

L'objectif de cette divulgation est de communiquer les vulnérabilités potentielles affectant les produits Supermicro qui ont été signalées par un chercheur externe.

Résumé :

Une faille de sécurité a été découverte dans le micrologiciel BMC de certaines cartes mères Supermicro . Ce problème de sécurité, connu sous le nom de "RegreSSHion", affecte la condition de course du gestionnaire de signaux critiques dans OpenSSH. Cette vulnérabilité peut entraîner une exécution de code à distance non authentifiée (RCE) avec les privilèges de l'administrateur.

CVE :

6387
- Gravité : élevée

Produits concernés :

Firmware Supermicro BMC dans certaines cartes mères H13, X13, H12, M12 et X12.

Remédiation :

Toutes les cartes mères Supermicro concernées devront faire l'objet d'une mise à jour du micrologiciel BMC afin d'atténuer ces vulnérabilités potentielles.

Un micrologiciel BMC mis à jour a été créé pour atténuer ces vulnérabilités potentielles. Supermicro teste et valide actuellement les produits concernés. Veuillez consulter les notes de version pour la résolution.

Selon la réponse d'OpenSSH(notes de publication), bien que la vulnérabilité ait été testée avec succès dans un environnement expérimental contrôlé, son exploitation a pris environ 6 à 8 heures de tentatives d'attaques continues au débit maximal du serveur. En particulier pour le micrologiciel BMC en général, une telle méthode d'attaque entraînera des anomalies de connexion, ce qui conduira finalement à l'échec de l'attaque.

Supermicro conseille vivement d'utiliser des mesures appropriées pour sécuriser l'accès au réseau des appareils, à titre de précaution générale de sécurité. Supermicro conseille de configurer l'environnement conformément aux directives opérationnelles de sécurité des produits Supermicro pour les systèmes afin de faire fonctionner les dispositifs dans un environnement informatique protégé. Veuillez vous référer à la page web sur la sécurité des produits pour plus d'informations, et suivez également les recommandations dans les manuels des produits.

Exploitation et annonces publiques :

Supermicro n'a pas connaissance d'une utilisation malveillante de ces vulnérabilités dans la nature.

Ressources :

6387

Serveurs Rack

1U avec 2 processeurs

2U avec 2 processeurs

1 Processeur

Multi-processeur

Familles de produits

Serveurs GPU

Gamme GPU 8U/10U

Gamme GPU 4U/5U

Gamme GPU 2U

Gamme GPU 1U

Serveurs Multi-Noeuds

FlexTwin™

BigTwin®

GrandTwin®

TwinPro®

FatTwin®

Serveurs Lames

SuperBlade

MicroBlade

MicroCloud

Serveurs de stockage

Tous les systèmes de stockage

Flash NVMe

Chargement par le haut

JBOF

Stockage Petascale Grace

Stockage optimisé pour l'entreprise

Boîtiers de stockage JBOD

Cartes mères

Cartes pour serveur

Cartes pour station de travail

Cartes embarquées / IoT

Cartes pour PC de bureau / Jeux

Matrice de carte mères

SKUs mondiales

Châssis

Châssis 1U

Châssis 2U

Châssis 3U

Châssis 4U / Tour

Mid / Mini-Tour

Châssis embarqué / IoT

Racks mobiles / Kits disques

Boîtiers de stockage JBOD

SKUs mondiales

SuperRack

Ingénierie des solutions pour les centres de données (DCSE)

Service d'intégration des racks

Accessoires

Matrice des câbles

Matrice des cartes risers

Matrice des cartes de stockages AOC

Matrice des blocs alimentations

Matrice des dissipateurs thermiques

Matrice des ventilateurs

Racks mobiles / Kits disques

Façades avant du châssis

Stockage, E/S, sécurité

Serveurs Edge & Telecom

Systèmes Edge sans ventilateur

Systèmes Edge compacts

Systèmes GPU Edge

Systèmes Edge pour l'extérieur

Systèmes Edge réseau 1U

Systèmes 5G/Télécom

Composants embarqués

Cartes mères embarquées

Châssis embarqué

Switches

Adaptateurs

SuperWorkstations

Plateforme de développement de l'IA à refroidissement liquide

Monoprocesseur

Double processeur

Solutions de jeu Supero™

Infrastructure d'IA

Data Center Building Block Solutions® (DCBBS)

L'usine d'IA

Edge IA