漏洞Supermicro BMC IPMI 固件,2023 年 12 月
漏洞披露:
本次披露的目的是为了说明可能影响系统的潜在漏洞Supermicro 由外部研究人员报告的产品。
致谢:
Supermicro 谨此感谢芬兰JAMK应用科技大学的研究人员在发现潜在漏洞方面所做的工作。 Supermicro BMC IPMI固件。
摘要
已在部分系统中发现一些安全问题。 Supermicro 这些问题可能会影响 BMC IPMI 的 Web 服务器组件。
| CVE编号 | 说明 | 严重性 |
|---|---|---|
| IPMI BMC SSDP/UPnP Web 服务器目录遍历和 iKVM 访问允许重启主机 | 高 | |
| IPMI BMC 管理 Web 界面虚拟软盘/USB 远程命令执行 | 高 | |
| IPMI BMC 设备使用硬编码的配置文件加密密钥,这使得攻击者能够构造并上传恶意配置文件包,从而获得远程命令执行权限。 | 高 |
受影响的产品:
Supermicro 选定的 BMC X11 M11, X12 , H12 ,B12, X13 , H13 B13 和 C9X299 主板。
补救措施:
做作的Supermicro 主板 SKU 需要进行 BMC 更新以缓解这些潜在漏洞。
为缓解这些潜在漏洞,我们已发布更新的 BMC 固件。请查看 BMC 固件更新和发行说明以了解解决方案,并联系技术支持获取更多详细信息。
为了立即减少攻击面,建议遵循BMC 配置最佳实践指南并配置会话超时。
开发和公告:
Supermicro 目前尚未发现任何公开声明或恶意利用本公告中所述漏洞的情况。