OpenSSH “regreSSHion”漏洞,2024年7月
漏洞披露:
本次揭露的目的是為了說明可能影響系統的潛在漏洞Supermicro 由外部研究人員報告的產品。
概括:
在 Select 的 BMC 韌體中發現了一個安全漏洞。 Supermicro 主機板。此安全性問題名為“RegreSSHion”,影響 OpenSSH 中的關鍵訊號處理程序競爭條件。此漏洞可能導致未經身份驗證的遠端程式碼執行 (RCE),並授予 root 權限。
CVE:
- CVE-2024-6387
- 嚴重程度:高
受影響產品:
Supermicro 選定的 BMC 韌體H13 , X13 , H12 ,M12,以及X12 主機板。
補救措施:
所有受影響的人Supermicro 主機板 SKU 需要進行 BMC 韌體更新以緩解這些潛在漏洞。
為緩解這些潛在漏洞,我們開發了更新的 BMC 韌體。 Supermicro 目前正在對受影響的產品進行測試和驗證。請查看版本說明以了解解決方案。
根據 OpenSSH 的回應(發布說明),雖然該漏洞在受控實驗環境中測試成功,但利用該漏洞需要以伺服器最大吞吐量進行約 6 至 8 小時的持續攻擊嘗試。特別是對於 BMC 韌體而言,這種攻擊方法會導致連接異常,最終導致攻擊失敗。
Supermicro 強烈建議採取適當措施保護設備對網路的存取安全,作為常規安全預防措施。 Supermicro 建議按照以下方式配置環境: Supermicro 為了確保設備在受保護的 IT 環境中運行,請遵循產品安全操作指南。更多資訊請參閱產品安全網頁,並遵循產品手冊中的建議。
剝削和公開聲明:
Supermicro 目前尚未發現這些漏洞被惡意利用的情況。