OpenSSH "regreSSHion" 漏洞,2024 年 7 月
漏洞披露:
本披露旨在通报外部研究人员报告的、影响 Supermicro 产品的潜在漏洞。
摘要
在部分 Supermicro 主板的 BMC 固件中已发现一个安全漏洞。此安全问题被称为“RegreSSHion”,影响 OpenSSH 中关键信号处理程序的竞争条件。此漏洞可能导致未经身份验证的远程代码执行 (RCE),并获得 root 权限。
CVE:
- CVE-2024-6387
- 严重性:高
受影响的产品:
适用于部分 H13、X13、H12、M12 和 X12 主板的 Supermicro BMC 固件。
补救措施:
所有受影响的 Supermicro 主板 SKU 都将需要进行 BMC 固件更新,以缓解这些潜在漏洞。
已创建更新的 BMC 固件以缓解这些潜在漏洞。Supermicro 目前正在测试和验证受影响的产品。请查阅发行说明以获取解决方案。
根据OpenSSH的回应(发布说明),虽然该漏洞已在受控实验环境中成功验证,但利用该漏洞需要在服务器最大吞吐量下持续攻击约6至8小时。特别是对于BMC固件而言,此类攻击方式将导致连接异常,最终使攻击失败。
Supermicro 强烈建议采取适当措施来保护设备的网络访问,作为一般安全预防措施。Supermicro 建议根据 Supermicro 产品安全操作指南配置系统环境,以便在受保护的 IT 环境中运行设备。有关更多信息,请参阅产品安全网页,并遵循产品手册中的建议。
开发和公告:
Supermicro 尚未发现这些漏洞在实际环境中被恶意利用的案例。