DÉTAILS DE LA VULNÉRABILITÉ :
Les chercheurs ont identifié une vulnérabilité avec Vertiv BMC (Baseboard Management Controllers) qui peut entraîner le piratage du serveur pour exécuter toute attaque de code.
L'une des vulnérabilités est que le micrologiciel BMC n'effectue pas de vérification de signature cryptographique avant de recevoir des mises à jour et d'écrire dans la mémoire flash SPI.
La deuxième vulnérabilité est que la mise à jour du micrologiciel présente une vulnérabilité d'injection d'instructions.
Les deux vulnérabilités permettent à un attaquant d'utiliser les privilèges d'administrateur hôte pour exécuter du code arbitraire sur le micrologiciel et apporter des modifications permanentes au contenu de la mémoire flash SPI dans le BMC. L'attaquant peut également modifier l'environnement du BMC pour empêcher les futures mises à jour du micrologiciel via le mécanisme logiciel, afin que le BMC puisse être définitivement détruit.
Portée des impacts :
Serveurs Acer Altos avec BMC ASPEED AST2300 / AST2400 / AST2500 avec micrologiciel Vertiv Avocent MergePoint EMS.
Résolution:
Acer travaille en étroite collaboration avec les fournisseurs pour remédier à certaines vulnérabilités du micrologiciel du contrôleur de gestion de la carte mère (BMC) qui affectent certains de ses produits de serveur Altos. Nous recommandons aux clients de limiter leurs risques en suivant les meilleures pratiques de sécurité courantes, en limitant l'accès privilégié aux administrateurs de confiance et en appliquant les dernières mises à jour du micrologiciel BMC et CMC ci-dessous.
Modèles Acer concernés et mises à jour du micrologiciel :
Altos T310 F3
Micrologiciel BMC - v1.41
AR460 F3
Micrologiciel BMC - v8.86
AR480 F3
Micrologiciel BMC - v8.86
Altos W2050-W270h F4
Micrologiciel BMC - v1.91(uniquement pour le micrologiciel Vertiv BMC)
Micrologiciel CMC -v1.34
Altos R480 F4
Micrologiciel BMC -v1.91(uniquement pour le micrologiciel Vertiv BMC)
Altos W2200-W670h F4
Micrologiciel BMC -v1.91(uniquement pour le micrologiciel Vertiv BMC)
Micrologiciel CMC -v1.34
Altos R369 F4
Micrologiciel BMC - v1.91(uniquement pour le micrologiciel Vertiv BMC)
Altos R389 F4
Micrologiciel BMC - v1.91(uniquement pour le micrologiciel Vertiv BMC)
Plus d'information
Pour plus d'informations, veuillez visiter
Clause de non-responsabilité
LES INFORMATIONS CI-DESSUS SONT FOURNIES « EN L'ÉTAT » EN RELATION AVEC LES PRODUITS ACER ET INTEL®. VOTRE UTILISATION DES INFORMATIONS OU DES MATÉRIAUX LIÉS À CETTE PAGE EST À VOS PROPRES RISQUES. ACER SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR CETTE PAGE À TOUT MOMENT.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
