Supermicro BMC IPMIファームウェアの脆弱性、2023年12月
脆弱性の開示
この開示の目的は、外部の研究者によって報告されたSupermicro製品に影響を与える可能性のある脆弱性について通知することです。
謝辞
Supermicroは、フィンランドのJAMK応用科学大学の研究者がSupermicro BMC IPMIファームウェアにおける潜在的な脆弱性を発見したことに対し、その功績を認め、感謝の意を表します。
概要
一部のSupermicro製ボードにおいて、複数のセキュリティ上の問題が発見されました。これらの問題は、BMC IPMIのウェブサーバーコンポーネントに影響を及ぼす可能性があります。
| CVE番号 | 説明 | 重大性 |
|---|---|---|
| IPMI BMC SSDP/UPnP Webサーバーのディレクトリ・トラバーサルとiKVMアクセスにより、ホストの再起動が可能 | 高い | |
| IPMI BMC管理ウェブ・インターフェース仮想フロッピー/USBリモート・コマンド実行 | 高い | |
| IPMI BMC デバイスはハードコードされた設定ファイル暗号化キーを使用しているため、攻撃者は悪意のある設定ファイルパッケージを作成してアップロードし、リモートでコマンドを実行することができます。 | 高い |
影響を受ける製品
特定のX11、M11、X12、H12、B12、X13、H13、B13、C9X299マザーボードにおけるSupermicro BMC。
修復:
影響を受けるSupermicroマザーボードSKUは、これらの潜在的な脆弱性を軽減するためにBMCアップデートが必要となります。
これらの潜在的な脆弱性を軽減するために、更新されたBMCファームウェアが作成されました。BMC ファームウェアのアップデートおよびリリースノートで解決策を確認し、詳細についてはテクニカルサポートにお問い合わせください。
攻撃対象領域を減らすための当面の回避策として、以下の手順に従ってください。 BMC 構成ベストプラクティスガイドに従って、セッション タイムアウトを構成することをお勧めします。
搾取と公表:
Supermicroは、本アドバイザリで説明されているこれらの脆弱性に関する公開された発表や悪意のある使用を認識していません。