DETALLES DE VULNERABILIDAD:
Los investigadores han identificado una vulnerabilidad en Vertiv BMC (controladores de administración de placa base) que puede provocar que el servidor sea pirateado para ejecutar cualquier ataque de código.
Una vulnerabilidad es que el firmware del BMC no realiza una verificación de firma criptográfica antes de recibir actualizaciones y escribir en la memoria flash SPI.
La segunda vulnerabilidad es que la actualización del firmware tiene una vulnerabilidad de inyección de instrucciones.
Ambas vulnerabilidades permiten a un atacante utilizar los privilegios de administrador del host para ejecutar código arbitrario en el firmware y realizar cambios permanentes en el contenido de la memoria flash SPI en el BMC. El atacante también puede cambiar el entorno del BMC para evitar futuras actualizaciones de firmware a través del mecanismo de software, de modo que el BMC pueda destruirse permanentemente.
Alcance del impacto:
Servidores Acer Altos con BMC ASPEED AST2300 / AST2400 / AST2500 con firmware Vertiv Avocent MergePoint EMS.
Resolución:
Acer está trabajando estrechamente con proveedores para abordar ciertas vulnerabilidades del firmware del controlador de administración de placa base (BMC) que afectan a algunos de sus productos de servidor Altos. Recomendamos que los clientes limiten su riesgo siguiendo las mejores prácticas de seguridad comunes, restringiendo el acceso privilegiado a administradores confiables y aplicando las últimas actualizaciones de firmware de BMC y CMC a continuación.
Modelos de Acer afectados y actualizaciones de firmware:
Altos T310 F3
Firmware BMC- v1.41
AR460 F3
Firmware BMC- v8.86
AR480 F3
Firmware BMC- v8.86
Altos W2050-W270h F4
Firmware BMC- v1.91(solo para firmware Vertiv BMC)
Firmware del CMC-v1.34
Alto R480 F4
Firmware BMC-v1.91(solo para firmware Vertiv BMC)
Altos W2200-W670h F4
Firmware BMC-v1.91(solo para firmware Vertiv BMC)
Firmware del CMC-v1.34
Alto R369 F4
Firmware BMC- v1.91(solo para firmware Vertiv BMC)
Alto R389 F4
Firmware BMC- v1.91(solo para firmware Vertiv BMC)
Más información
Para obtener información adicional, visite
Descargo de responsabilidad
LA INFORMACIÓN ANTERIOR SE PROPORCIONA "TAL CUAL" EN RELACIÓN CON LOS PRODUCTOS ACER E INTEL®. SU USO DE LA INFORMACIÓN O MATERIALES ENLAZADOS DESDE ESTA PÁGINA ES BAJO SU PROPIO RIESGO. ACER SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR ESTA PÁGINA EN CUALQUIER MOMENTO.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
