PODROBNOSTI O ZRANITELNOSTI:
Výzkumníci identifikovali zranitelnost ovladačů Vertiv BMC (Baseboard Management), která může způsobit, že server bude napaden hackery za účelem provedení jakéhokoli útoku kódu.
Jednou z chyb zabezpečení je, že firmware BMC neprovádí ověření kryptografického podpisu před přijetím aktualizací a zápisem do SPI flash paměti.
Druhou chybou zabezpečení je, že aktualizace firmwaru obsahuje chybu zabezpečení vkládání instrukcí.
Obě zranitelnosti umožňují útočníkovi využít oprávnění správce hostitele ke spuštění libovolného kódu ve firmwaru a provést trvalé změny obsahu SPI flash paměti v BMC. Útočník může také změnit prostředí BMC, aby zabránil budoucím aktualizacím firmwaru prostřednictvím softwarového mechanismu, takže BMC může být trvale zničeno.
Rozsah dopadu:
Servery Acer Altos s ASPEED AST2300 / AST2400 / AST2500 BMC s firmwarem Vertiv Avocent MergePoint EMS.
Rozlišení:
Společnost Acer úzce spolupracuje s dodavateli na řešení určitých zranitelností firmwaru řadiče základní desky (BMC), které ovlivňují některé její serverové produkty Altos. Doporučujeme zákazníkům omezit svá rizika dodržováním běžných osvědčených bezpečnostních postupů, omezením privilegovaného přístupu na důvěryhodné správce a použitím nejnovějších aktualizací firmwaru BMC a CMC uvedených níže.
Dotčené modely Acer a aktualizace firmwaru:
Altos T310 F3
Firmware BMC - v1.41
AR460 F3
Firmware BMC - v8.86
AR480 F3
Firmware BMC - v8.86
Altos W2050-W270h F4
Firmware BMC - v1.91(pouze pro Vertiv BMC Firmware)
Firmware CMC -v1.34
Altos R480 F4
Firmware BMC -v1.91(pouze pro Vertiv BMC Firmware)
Altos W2200-W670h F4
Firmware BMC -v1.91(pouze pro Vertiv BMC Firmware)
Firmware CMC -v1.34
Altos R369 F4
Firmware BMC - v1.91(pouze pro Vertiv BMC Firmware)
Altos R389 F4
Firmware BMC - v1.91(pouze pro Vertiv BMC Firmware)
Více informací
Další informace naleznete na adrese
Zřeknutí se odpovědnosti
VÝŠE uvedené INFORMACE JSOU POSKYTOVÁNY „TAK JAK JSOU“ V SOUVISLOSTI S PRODUKTY ACER A INTEL®. INFORMACE NEBO MATERIÁLY ODKAZOVANÉ Z TÉTO STRÁNKY POUŽÍVÁTE NA VLASTNÍ RIZIKO. ACER SI VYHRAZUJE PRÁVO KDYKOLI ZMĚNIT NEBO AKTUALIZOVAT TUTO STRÁNKU.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
