脆弱性の開示
この開示の目的は、外部の研究者によって報告されたSupermicro製品に影響を与える可能性のある脆弱性について通知することです。
概要
特定のSupermicro製マザーボードのBMCファームウェアにおいて、セキュリティ脆弱性が発見されました。「RegreSSHion」として知られるこのセキュリティ問題は、OpenSSHにおけるクリティカルなシグナルハンドラーの競合状態に影響を与えます。この脆弱性により、root権限での認証なしリモートコード実行 (RCE) が発生する可能性があります。
CVE:
- 6387
- 深刻度:高
影響を受ける製品
特定のH13、X13、H12、M12、X12マザーボードにおけるSupermicro BMCファームウェア。
修復:
影響を受けるすべてのSupermicroマザーボードSKUは、これらの潜在的な脆弱性を軽減するためにBMCファームウェアのアップデートが必要となります。
これらの潜在的な脆弱性を軽減するために、更新されたBMCファームウェアが作成されました。Supermicroは現在、影響を受ける製品のテストと検証を行っています。解決策についてはリリースノートをご確認ください。
OpenSSH の回答(リリースノート)によると、この脆弱性は制御された実験環境でテストに成功し たものの、この脆弱性を悪用するためには、サーバーの最大スループットで連続的に攻撃を試み、 約 6~8 時間を要したとのことです。特に、一般的な BMC ファームウェアの場合、このような攻撃方法は、接続異常を引き起こし、最終的に 攻撃の失敗につながります。
Supermicroは、一般的なセキュリティ対策として、デバイスへのネットワークアクセスを保護するための適切な措置を講じることを強く推奨します。保護されたIT環境でデバイスを運用するためには、Supermicro製品のセキュリティ運用ガイドラインに従って環境を構成することを推奨します。詳細については、製品セキュリティウェブページを参照し、製品マニュアルの推奨事項にも従ってください。
搾取と公表:
Supermicroは、これらの脆弱性が実世界で悪意を持って使用された事例を認識していません。