Supermicro BMC IPMI ファームウェアの脆弱性、2023 年 12 月
脆弱性の開示
この開示の目的は、外部の研究者から報告されたSupermicro 製品に影響を及ぼす可能性のある脆弱性についてお伝えすることです。
謝辞
Supermicro 、Supermicro BMC IPMI ファームウェアの潜在的な脆弱性を発見したフィンランドの JAMK 応用科学大学の研究者の功績を称えたいと思います。
概要
一部のSupermicro ボードにセキュリティ上の問題が多数発見されています。これらの問題は、BMC IPMI の Web サーバーコンポーネントに影響を与える可能性があります。
| CVE番号 | 説明 | 重大性 |
|---|---|---|
| IPMI BMC SSDP/UPnP Webサーバーのディレクトリ・トラバーサルとiKVMアクセスにより、ホストの再起動が可能 | 高い | |
| IPMI BMC管理ウェブ・インターフェース仮想フロッピー/USBリモート・コマンド実行 | 高い | |
| IPMI BMC デバイスはハードコードされた設定ファイル暗号化キーを使用しているため、攻撃者は悪意のある設定ファイルパッケージを作成してアップロードし、リモートでコマンドを実行することができます。 | 高い |
影響を受ける製品
一部のX11、M11、X12、H12、B12、X13、H13、B13およびC9X299マザーボードに搭載されているSupermicro BMC。
修復:
影響を受けるSupermicro マザーボードの SKU では、これらの潜在的な脆弱性を軽減するために BMC の更新が必要になります。
これらの潜在的な脆弱性を軽減するために、更新されたBMCファームウェアが作成されました。BMC ファームウェアのアップデートおよびリリースノートで解決策を確認し、詳細についてはテクニカルサポートにお問い合わせください。
攻撃対象領域を減らすための当面の回避策として、以下の手順に従ってください。 BMC 構成ベストプラクティスガイドに従って、セッション タイムアウトを構成することをお勧めします。
搾取と公表:
Supermicro は、本アドバイザリに記載されているこれらの脆弱性の公表や悪意のある使用について認識していません。