脆弱性の開示
本開示の目的は、外部研究者より報告されたSupermicro を及ぼす可能性のある潜在的な脆弱性についてお知らせすることです。
謝辞
Supermicro 、Supermicro IPMIファームウェアにおける潜在的な脆弱性を発見されたBinarlyチームのご尽力に対し、深く感謝Supermicro 。
概要
Supermicro 、複数のセキュリティ上の問題が発見されました。これらの問題は、BMC IPMIのWebサーバーコンポーネントに影響を及ぼす可能性があります。
| CVE ID | 重大性**について | 問題の種類 | 説明** |
|---|---|---|---|
| 高い | コマンド・インジェクション攻撃 | 攻撃者がこの脆弱性を悪用するには、管理者権限でBMCにログインする必要があります。有効化されていない入力値により、攻撃者にコマンドインジェクションを実行される可能性があります。 Supermicro スコア:7.2 (攻撃ベクトル:高/攻撃対象:低/脆弱性レベル:高/ユーザーインターフェース:低/システム影響:高/認証要件:高/情報漏洩:高/影響範囲:高/攻撃可能性:高) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC管理者がログインしている間にそのリンクをクリックするようにだまし、BMC Web UIで認証させることができます。 Supermicro スコア:8.3 (攻撃ベクトル:高/攻撃対象:高/脆弱性評価:高/ユーザーインターフェース:高/システム影響:中/インフラ影響:高/情報漏洩:高/攻撃可能性:高) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC 管理者がログインしたままそのリンクをクリックするように騙し、BMC Web UI で認証させることができます。この脆弱性は、Windows IE11 ブラウザでのみ悪用可能です。 Supermicro スコア:8.3 (攻撃ベクトル:高/攻撃対象:高/脆弱性評価:高/ユーザーインターフェース:高/システム影響:中/インフラ影響:高/情報漏洩:高/攻撃可能性:高) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC管理者がまだログインしている状態でそのリンクをクリックするように騙し、BMC Web UIで認証させることができます。攻撃者は、管理者のブラウザのクッキーを汚染し、新しいユーザーを作成します。 Supermicro スコア:8.3 (攻撃ベクトル:高/攻撃対象:高/脆弱性評価:高/ユーザーインターフェース:高/システム影響:中/インフラ影響:高/情報漏洩:高/攻撃可能性:高) | |
| 高い | XSS攻撃 | 攻撃者は、ログインを必要としないフィッシングリンクを送信し、BMC管理者がまだログインしている状態でそのリンクをクリックするように騙し、BMC Web UIで認証させることができます。攻撃者は、管理者のブラウザのクッキーとローカルストレージを汚染し、新しいユーザーを作成します。 Supermicro スコア:8.3 (攻撃ベクトル:高/攻撃対象:高/脆弱性評価:高/ユーザーインターフェース:高/システム影響:中/インフラ影響:高/情報漏洩:高/攻撃可能性:高) |
影響を受ける製品
Supermicro 、一部のX11、H11、B11、CMM、M11、およびH12マザーボードに搭載されております。
修復:
影響Supermicro SKUについては、これらの潜在的な脆弱性を軽減するため、BMCの更新が必要となります。
これらの潜在的な脆弱性を軽減するために、更新されたBMCファームウェアが作成されました。BMCファームウェアのアップデートおよびリリースノートをご確認の上、テクニカルサポートまでお問い合わせください。
攻撃対象領域を減らすための当面の回避策として、以下の手順に従ってください。 BMC 構成ベストプラクティスガイドに従って、セッション タイムアウトを構成することをお勧めします。
搾取と公表:
Supermicro 、これらの脆弱性が実際に悪用された事例を認識Supermicro 。
注意事項
** MITRE.orgによる最終審査待ちのため、変更される可能性があります。