BIOSの脆弱性、2024年9月

Supermicro は、BIOS ファームウェアに 2 つの潜在的な脆弱性があることを認識しています。これらの脆弱性は、攻撃者が SMRAM に書き込み、RIP/EIP を乗っ取ることを可能にする可能性があります。これらの脆弱性は、Denverton プラットフォーム用のSupermicro BIOS に影響します。

謝辞

Supermicro 、Supermicro BIOSファームウェアの潜在的な脆弱性を発見した中国の研究者Easonの功績を称えたいと思います。

CVEです:

CVE番号説明
一部のインテル(R) プロセッサー向けのインテル BIOS プラットフォームのサンプルコードに、ローカルアクセスによる特権の昇格を可能にする可能性のある不適切な条件チェックが存在します。特権アクセスを持つ攻撃者は、この脆弱性を利用して SMRAM に書き込み、RIP/EIP を乗っ取ることが可能です。
特権アクセス権を持つ攻撃者は、この脆弱性を悪用して SMRAM に書き込み、RIP/EIP を乗っ取ることができます。このため、攻撃者は SMM モードで任意のコードを実行することができます。

影響を受ける製品

製品/マザーボード修正を含むBIOSバージョン
A2SDi-H-T(P4)Fv 2.1
A2SDi-HLN4Fv 2.1
A2SDi-TP8F/LN4Fv 2.1
A2SDV-LN8F/LN10PFv 2.1
A2SDV-TLN5Fv 2.1
A2SD1-3750F/3955Fv 2.1

緩和:

Supermicro 、これらの脆弱性を軽減するためのBIOSファームウェアをリリースしました。解決方法については、リリースノートをご確認ください。

搾取と公表:

Supermicro は、本アドバイザリに記載されている脆弱性の公表や悪意のある使用について認識していません。