DETALLES DE LA VULNERABILIDAD:
Los investigadores han identificado una vulnerabilidad con los controladores Vertiv BMC (Baseboard Management controllers) que puede causar que el servidor sea pirateado para ejecutar cualquier ataque de código.
Una vulnerabilidad es que el firmware del BMC no realiza la verificación de firmas criptográficas antes de recibir actualizaciones y escribir en la memoria flash SPI.
La segunda vulnerabilidad es que la actualización del firmware tiene una vulnerabilidad de las instrucciones inyección.
Ambas vulnerabilidades permiten a un atacante utilizar los privilegios de administrador del host para ejecutar código arbitrario en el firmware y realizar cambios permanentes en el contenido de la memoria flash SPI en el BMC. El atacante también puede cambiar el entorno BMC para evitar futuras actualizaciones de firmware a través del mecanismo de software, de modo que el BMC pueda ser destruido permanentemente.
Alcance del impacto:
Servidores de Acer Altos con BMC ASPEED AST2300 / AST2400 / AST2500 y firmware Vertiv Avocent MergePoint EMS.
Resolución:
Acer está trabajando estrechamente con los proveedores para tratar las vulnerabilidades de firmware del baseboard management controller (BMC) que afectan a algunos de sus productos de servidores Altos. Recomendamos que los clientes limiten sus riesgos siguiendo las mejores prácticas de seguridad comunes, restringiendo el acceso privilegiado a administradores de confianza y aplicando las últimas actualizaciones de firmware del BMC tan pronto como estén disponibles. Los enlaces a estas actualizaciones se publicarán a medida que estén disponibles.
Modelos Acer afectados:
Altos T310 F3
BMC Firmware - v1.41
AR460 F3
BMC Firmware - v8.86
AR480 F3
BMC Firmware - v8.86
Altos W2050-W270h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R480 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos W2200-W670h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R369 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos R389 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Para más información
Para obtener más información, visite https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
Cláusula
LA INFORMACIÓN ANTERIOR SE PROPORCIONA "TAL CUAL" EN RELACIÓN CON LOS PRODUCTOS ACER E INTEL®. EL USO DE LA INFORMACIÓN O MATERIALES ENLAZADOS DESDE ESTA PÁGINA ES BAJO SU PROPIO RIESGO. ACER SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR ESTA PÁGINA EN CUALQUIER MOMENTO.