PODROBNOSTI O CHYBĚ ZABEZPEČENÍ:
Výzkumnici zabývající se bezpečností objevili chybu v zabezpečení BMC (Baseboard Management Controller) společnosti Vertiv, která umožňuje napadení serveru a následné další šíření škodlivého kódu.
Jednou z chyb je, že firmware BMC před přijetím aktualizací a jejich zápisem do SPI flash paměti neprovádí kryptografické ověření podpisu.
Druhou chybou zabezpečení je, že aktualizace firmwaru obsahuje chybu umožňující vkládání instrukcí.
V důsledku těchto chyb může útočník použít oprávnění správce ke spuštění libovolného kódu ve firmwaru a k provedení trvalých změn SPI flash paměti v BMC. Útočník také může v BMC provést změny, v důsledku jichž nadále není možné provést softwarové aktualizace, což může znamenat nezvratné poškození BMC.
Rozsah problému:
Servery Acer Altos s BMC ASPEED AST2300/AST2400/AST2500 s firmwarem Vertiv Avocent MergePoint EMS.
Řešení:
Acer úzce spolupracuje se svými dodavateli s cílem odstranit chyby v zabezpečení firmwaru (BMC), které se týkají některých serverů Altos. Doporučujeme, aby uživatelé pro omezení rizika napadení dodržovali všechny obecné zásady zabezpečení. Dále doporučujeme omezit přístup s administrátorskými právy na pouze ověřené správce a instalovat aktualizace firmwaru BMC hned po jejich vydání. Odkazy na aktualizace budou uvedeny níže, jakmile budou aktualizace připraveny.
Dotčené modely Acer:
Altos T310 F3
BMC Firmware - v1.41
AR460 F3
BMC Firmware - v8.86
AR480 F3
BMC Firmware - v8.86
Altos W2050-W270h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R480 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos W2200-W670h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R369 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos R389 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Další informace
Další informace naleznete na adrese https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-firmware-in-the-Supply-Chain.PDF
Prohlášení
VÝŠE UVEDENÉ INFORMACE SOUVISEJÍCÍ S PRODUKTY ACER A INTEL® JSOU POSKYTOVÁNY "TAK, JAK JSOU" . POUŽITÍ INFORMACÍ NEBO MATERIÁLŮ UVEDENÝCH NA TÉTO STRÁNCE JE NA VLASTNÍ NEBEZPEČÍ. ACER SI VYHRAZUJE PRÁVO TUTO STRÁNKU KDYKOLI ZMĚNIT NEBO AKTUALIZOVAT.