LES DÉTAILS DE LA VULNÉRABILITÉ :
Les chercheurs ont identifié une vulnérabilité au niveau des contrôleurs Vertiv BMC (Baseboard Management controllers) qui peut provoquer le piratage du serveur pour exécuter toute attaque de code.
L'une des vulnérabilités est que le micrologiciel BMC n'effectue pas de vérification de signature cryptographique avant de recevoir les mises à jour et d'écrire dans la mémoire flash SPI.
La deuxième vulnérabilité est que la mise à jour du firmware a une vulnérabilité d'injection d'instructions.
Ces deux vulnérabilités permettent à un attaquant d'utiliser les privilèges de l'administrateur hôte pour exécuter du code arbitraire sur le firmware et apporter des modifications permanentes au contenu de la mémoire flash SPI du BMC. L'attaquant peut également modifier l'environnement BMC pour empêcher de futures mises à jour du firmware par le biais du mécanisme logiciel, de sorte que le BMC puisse être définitivement détruit.
Portée de l'impact :
Acer Serveurs Altos avec BMCs ASPEED AST2300 / AST2400 / AST2500 avec firmware Vertiv Avocent MergePoint EMS.
Résolution :
Acer travaille en étroite collaboration avec les fournisseurs pour remédier à certaines vulnérabilités du micrologiciel du contrôleur de gestion de la carte de base (BMC) qui touchent certains de ses produits de serveurs Altos. Nous recommandons aux clients de limiter tous risques en suivant les meilleures pratiques de sécurité courantes, en limitant l'accès privilégié aux administrateurs de confiance et en appliquant les dernières mises à jour du firmware BMC dès qu'elles sont disponibles. Les liens vers ces mises à jour seront affichés ci-dessous dès qu'ils seront disponibles.
Modèles touchés Acer:
Altos T310 F3
BMC Firmware - v1.41
AR460 F3
BMC Firmware - v8.86
AR480 F3
BMC Firmware - v8.86
Altos W2050-W270h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R480 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos W2200-W670h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R369 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos R389 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Plus d'informations
Pour de plus amples renseignements, veuillez consulter le site https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
Clause de non-responsabilité
LES INFORMATIONS CI-DESSUS SONT FOURNIES "EN L'ÉTAT" POUR LES PRODUITS ACER ET INTEL®. L'UTILISATION DE CES INFORMATION OU DU MATÉRIEL LIÉE À CETTE PAGE SE FAIT À VOS PROPRES RISQUES. ACER SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR CETTE PAGE À TOUT MOMENT.