Supermicro alaplapi firmware sérülékenységek

CH azonosító: CH-14695
Cím: Supermicro alaplapi firmware sérülékenységek
Angol cím: Firmware vulnerabilities in Supermciro motherboards

Publikálás dátuma: 2019.09.09.
Utolsó módosítás dátuma: 2019.09.09.


Leírás

Szerverekben használt Supermicro alaplapokat érintő (X9, X10 és X11), magas kockázati besorolású sérülékenységekre derült fény, amelyeket kihasználva a támadó átveheti a BMC kontroller irányítását, ezen keresztül szerezve jogosultságot akár az operációs rendszer vagy a firmware felülírására is.


Leírás forrása: Egyéb referencia: securityaffairs.co
Leírás utolsó módosítása: 2019.09.04.


Elemzés leírás

Az X9, X10 és X11 típusú alaplapok sérülékenységeire derült fény, melyeket kihasználva a támadó virtuális USB eszközt csatlakoztathat a számítógéphez távolról (ide értve az Internetet is). A BMC processzor végzi a szerver, a hálózati és egyéb hardver elemek fizikai állapotának monitorozását, illetve folyamatosan kommunikál a rendszergazdával egy független kapcsolaton keresztül. A BMC lehetőséget biztosít a rendszergazda számára, hogy hálózaton keresztül kritikus karbantartási munkákat végezzen, mint pl.: OS vagy firmware frissítés. A támadó alapértelmezett hitelesítő adatok felhasználásával, vagy bizonyos esetekben hitelesítés nélkül is képes csatlakozni a szerverhez.

A BMC processzort érintően összesen négyféle sérülékenységtípust azonosítottak:

  1. Kódolatlan azonosítás
  2. Titkosítatlan hálózati forgalom
  3. Gyenge titkosítás
  4. Azonosítás megkerülés (X10 és X11 esetében)

A gyártó honlapján közzétette a hiba javítását tartalmazó szoftverfrissítést.


Elemzés leírás utolsó módosítása: 2019.09.09.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás pontszáma:
Kihasználhatóság pontszáma:


CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Egyéb referencia: eclypsium.com
Egyéb referencia: securityaffairs.co