BIOSの脆弱性、2024年9月

Supermicroは、BIOSファームウェアにおける2つの潜在的な脆弱性を認識しています。これらの脆弱性により、攻撃者がSMRAMに書き込み、RIP/EIPをハイジャックする可能性があります。これらはDenvertonプラットフォーム向けのSupermicro BIOSに影響を与えます。

謝辞

Supermicroは、Supermicro BIOSファームウェアにおける潜在的な脆弱性を発見した、中国の研究者 Eason氏の功績に感謝いたします。

CVEです:

CVE番号説明
一部のインテル(R) プロセッサー向けのインテル BIOS プラットフォームのサンプルコードに、ローカルアクセスによる特権の昇格を可能にする可能性のある不適切な条件チェックが存在します。特権アクセスを持つ攻撃者は、この脆弱性を利用して SMRAM に書き込み、RIP/EIP を乗っ取ることが可能です。
特権アクセス権を持つ攻撃者は、この脆弱性を悪用して SMRAM に書き込み、RIP/EIP を乗っ取ることができます。このため、攻撃者は SMM モードで任意のコードを実行することができます。

影響を受ける製品

製品/マザーボード修正を含むBIOSバージョン
A2SDi-H-T(P4)Fv 2.1
A2SDi-HLN4Fv 2.1
A2SDi-TP8F/LN4Fv 2.1
A2SDV-LN8F/LN10PFv 2.1
A2SDV-TLN5Fv 2.1
A2SD1-3750F/3955Fv 2.1

緩和:

Supermicroは、これらの脆弱性を軽減するためのBIOSファームウェアをリリースしました。解決策についてはリリースノートをご確認ください。

搾取と公表:

Supermicroは、本アドバイザリで説明されている脆弱性に関する公開された発表や悪意のある使用を認識していません。