DETAILS ZUR SCHWACHSTELLE:
Forscher haben eine Schwachstelle bei Vertiv BMC (Baseboard Management Controller) entdeckt, die dazu führen kann, dass der Server gehackt wird, um Codeangriffe auszuführen.
Eine Schwachstelle besteht darin, dass die BMC-Firmware keine kryptografische Signaturüberprüfung durchführt, bevor Updates empfangen und in den SPI-Flash-Speicher geschrieben werden.
Die zweite Schwachstelle besteht darin, dass das Firmware-Update eine Schwachstelle bezüglich Befehlsinjektion aufweist.
Beide Schwachstellen ermöglichen es einem Angreifer, die Host-Administratorrechte zu nutzen, um beliebigen Code auf der Firmware auszuführen und dauerhafte Änderungen am Inhalt des SPI-Flash-Speichers im BMC vorzunehmen. Der Angreifer kann auch die BMC-Umgebung ändern, um zukünftige Firmware-Updates über den Softwaremechanismus zu verhindern, sodass der BMC dauerhaft zerstört werden kann.
Umfang der Auswirkungen:
Acer Altos-Server mit ASPEED AST2300 / AST2400 / AST2500 BMCs mit Vertiv Avocent MergePoint EMS-Firmware.
Auflösung:
Acer arbeitet eng mit Anbietern zusammen, um bestimmte Firmware-Schwachstellen im Baseboard Management Controller (BMC) zu beheben, die einige seiner Altos-Serverprodukte betreffen. Wir empfehlen Kunden, ihr Risiko zu begrenzen, indem sie gängige bewährte Sicherheitsmethoden befolgen, den privilegierten Zugriff auf vertrauenswürdige Administratoren beschränken und die unten aufgeführten neuesten BMC- und CMC-Firmware-Updates anwenden.
Betroffene Acer-Modelle und Firmware-Updates:
Altos T310 F3
BMC-Firmware – Version 1.41
AR460 F3
BMC-Firmware – Version 8.86
AR480 F3
BMC-Firmware – Version 8.86
Altos W2050-W270h F4
BMC-Firmware – Version 1.91(nur für Vertiv BMC-Firmware)
CMC-Firmware -Version 1.34
Altos R480 F4
BMC-Firmware –Version 1.91(nur für Vertiv BMC-Firmware)
Altos W2200-W670h F4
BMC-Firmware –Version 1.91(nur für Vertiv BMC-Firmware)
CMC-Firmware -Version 1.34
Altos R369 F4
BMC-Firmware – Version 1.91(nur für Vertiv BMC-Firmware)
Altos R389 F4
BMC-Firmware – Version 1.91 (nur für Vertiv BMC Firmware)
Mehr Informationen
Weitere Informationen finden Sie unter
Haftungsausschluss
DIE OBEN GENANNTEN INFORMATIONEN WERDEN „WIE BESEHEN“ IN VERBINDUNG MIT ACER- UND INTEL®-PRODUKTEN BEREITGESTELLT. DIE VERWENDUNG DER VON DIESER SEITE AUS VERLINKTEN INFORMATIONEN ODER MATERIALIEN ERFOLGT AUF IHR EIGENES RISIKO. ACER BEHÄLT SICH DAS RECHT VOR, DIESE SEITE JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
