脆弱性の開示
この開示の目的は、外部の研究者から報告されたSupermicro 製品に影響を及ぼす可能性のある脆弱性についてお伝えすることです。
概要
一部のSupermicro マザーボードの BMC ファームウェアにセキュリティの脆弱性が発見されました。このセキュリティ問題は「RegreSSHion」として知られており、OpenSSH のクリティカルシグナルハンドラの競合状態に影響します。この脆弱性は、root 権限で認証されていないリモートコード実行 (RCE) を引き起こす可能性があります。
CVE:
- CVE-2024-6387
- 深刻度:高
影響を受ける製品
一部の H13、X13、H12、M12、および X12 マザーボードのSupermicro BMC ファームウェア。
修復:
影響を受けるすべてのSupermicro マザーボード SKU では、これらの潜在的な脆弱性を軽減するために BMC ファームウェアのアップデートが必要です。
これらの潜在的な脆弱性を軽減するために、更新された BMC ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法については、リリースノートをご確認ください。
OpenSSH の回答(リリースノート)によると、この脆弱性は制御された実験環境でテストに成功し たものの、この脆弱性を悪用するためには、サーバーの最大スループットで連続的に攻撃を試み、 約 6~8 時間を要したとのことです。特に、一般的な BMC ファームウェアの場合、このような攻撃方法は、接続異常を引き起こし、最終的に 攻撃の失敗につながります。
Supermicro 、一般的なセキュリティ対策として、デバイスへのネットワークアクセスを保護する適切な手段を使用することを強くお勧めします。Supermicro 、保護されたIT環境でデバイスを動作させるために、システムのSupermicro 製品セキュリティ運用ガイドラインに従って環境を構成することをお勧めします。詳細については、製品セキュリティウェブページを参照し、製品マニュアルの推奨事項に従ってください。
搾取と公表:
Supermicro 、これらの脆弱性が悪意を持って使用されていることを認識していません。