Acer Answers Keamanan dan kerentanan

Firmware BMC yang rentan pada server Enterprise

RINCIAN KERENTANAN:

Para peneliti telah mengidentifikasi kerentanan pada Vertiv BMC (pengendali Manajemen Baseboard) yang dapat menyebabkan server diretas untuk mengeksekusi serangan kode apa pun.

Salah satu kerentanannya adalah firmware BMC tidak melakukan verifikasi tanda tangan kriptografi sebelum menerima pembaruan dan menulis ke memori flash SPI.

Kerentanan kedua adalah pembaruan firmware memiliki kerentanan injeksi instruksi.

Kedua kerentanan tersebut memungkinkan penyerang menggunakan hak administrator host untuk mengeksekusi kode arbitrer pada firmware dan membuat perubahan permanen pada konten memori flash SPI di BMC. Penyerang juga dapat mengubah lingkungan BMC untuk mencegah pembaruan firmware di masa mendatang melalui mekanisme perangkat lunak, sehingga BMC dapat dihancurkan secara permanen.

Cakupan Dampak:

Acer Server Altos dengan ASPEED AST2300 / AST2400 / AST2500 BMC dengan firmware Vertiv Avocent MergePoint EMS.

Resolusi:

Acer bekerja sama dengan para vendor untuk mengatasi kerentanan firmware pengontrol manajemen alas tiang (BMC) tertentu yang memengaruhi beberapa produk server Altos. Kami menyarankan agar pelanggan membatasi risiko mereka dengan mengikuti praktik keamanan terbaik yang umum, membatasi akses istimewa ke administrator tepercaya, dan dengan menerapkan pembaruan firmware BMC dan CMC terbaru di bawah ini.

Acer Model dan pembaruan firmware yang terpengaruh:

Altos T310 F3

Firmware BMC - v1.41

AR460 F3

Firmware BMC - v8.86

AR480 F3

Firmware BMC - v8.86

Altos W2050-W270h F4