Supermicro BMC IPMI 固件中的漏洞,2023 年 12 月
漏洞披露:
本披露旨在通报外部研究人员报告的、影响 Supermicro 产品的潜在漏洞。
致谢:
Supermicro 谨此感谢芬兰 JAMK 应用科学大学的研究人员发现了 Supermicro BMC IPMI 固件中潜在的漏洞。
摘要
已在部分 Supermicro 主板中发现了一些安全问题。这些问题可能会影响 BMC IPMI 的网络服务器组件。
| CVE编号 | 说明 | 严重性 |
|---|---|---|
| IPMI BMC SSDP/UPnP Web服务器目录遍历漏洞及iKVM访问漏洞,可导致主机被重启 | 高 | |
| IPMI BMC管理网页界面虚拟软盘/USB远程命令执行 | 高 | |
| IPMI BMC设备采用硬编码的配置文件加密密钥,攻击者可据此构造并上传恶意配置文件包,从而实现远程命令执行。 | 高 |
受影响的产品:
Supermicro BMC 适用于部分 X11、M11、X12、H12、B12、X13、H13、B13 和 C9X299 主板。
补救措施:
受影响的 Supermicro 主板 SKU 将需要进行 BMC 更新,以缓解这些潜在漏洞。
已创建新版BMC固件以缓解这些潜在漏洞。请查阅BMC固件更新及发布说明获取解决方案,并联系技术支持获取更多详情。
为立即降低攻击面,建议遵循 BMC配置最佳实践指南 并配置会话超时。
开发和公告:
Supermicro 尚未发现任何公开披露或恶意利用本公告中描述的这些漏洞。