脆弱性開示:
この開示の目的は、以下に影響を与える可能性のある脆弱性を伝えることです。 Supermicro 外部の研究者によって報告された製品。
了承:
Supermicro Binarlyチームが潜在的な脆弱性を発見した功績を称えたいと思います。 Supermicro BMC IPMIファームウェア。
まとめ:
一部のセキュリティ問題が発見されましたSupermicro ボード。これらの問題は、BMC IPMI の Web サーバー コンポーネントに影響を与える可能性があります。
| CVE ID | 重大度** | 問題の種類 | 説明** |
|---|---|---|---|
| 高い | コマンドインジェクション攻撃 | 攻撃者は、この脆弱性を悪用するために、管理者権限でBMCにログインしている必要があります。検証されていない入力値を使用すると、攻撃者はコマンドインジェクションを実行できる可能性があります。 Supermicro CVSSv3 スコア: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC管理者がログインした状態でそのリンクをクリックするように仕向け、BMC Web UIによって認証された状態に陥らせる可能性がある。 Supermicro CVSSv3 スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC管理者がログインした状態でそのリンクをクリックするように仕向け、BMC Web UIによる認証を誤らせる可能性があります。この脆弱性は、 Windows IE11ブラウザを使用した場合にのみ悪用可能です。 Supermicro CVSSv3 スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC管理者がログインした状態でそのリンクをクリックするように仕向け、BMC Web UIによる認証を成功させる可能性があります。攻撃者は管理者のブラウザのCookieを改ざんして、新しいユーザーを作成します。 Supermicro CVSSv3 スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC管理者がログインした状態でそのリンクをクリックするように仕向け、BMC Web UIによる認証を不正に行う可能性があります。攻撃者は管理者のブラウザのCookieとローカルストレージを改ざんして、新しいユーザーを作成します。 Supermicro CVSSv3 スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
対象製品:
Supermicro BMC X11 、 H11 、B11、CMM、M11、およびH12 マザーボード。
修復:
影響を受けるSupermicro これらの潜在的な脆弱性を軽減するためには、マザーボードのSKUごとにBMCのアップデートが必要になります。
これらの潜在的な脆弱性を軽減するために、BMCファームウェアのアップデート版が作成されました。解決策については、BMCファームウェアのアップデート情報とリリースノートをご確認ください。詳細については、テクニカルサポートにお問い合わせください。
攻撃対象領域を縮小するための当面の対策として、 BMC構成ベストプラクティスガイドに従ってセッションタイムアウトを設定することをお勧めします。
搾取および公的な告知:
Supermicro 現時点で、これらの脆弱性が悪用された事例は確認されていません。
注記:
** MITRE.orgによる最終審査の結果、変更される可能性があります。