DETTAGLI SULLA VULNERABILITÀ:
I ricercatori hanno identificato con Vertiv BMC (Baseboard Management controllers) una volubilità che può causare l'hacking del server per eseguire qualsiasi attacco al codice.
Una vulnerabilità è che il firmware BMC non esegue la verifica crittografica della firma prima di ricevere gli aggiornamenti e di scrivere nella memoria flash SPI.
La seconda vulnerabilità è che l'aggiornamento del firmware ha una vulnerabilità di iniezione delle istruzioni.
Entrambe le vulnerabilità consentono all'attaccante di utilizzare i privilegi di amministratore host per eseguire codice arbitrario sul firmware e apportare modifiche permanenti al contenuto della memoria flash SPI nel BMC. L'attaccante può anche cambiare l'ambiente BMC per evitare futuri aggiornamenti del firmware attraverso il meccanismo software, in modo che il BMC possa essere definitivamente distrutto.
Impact Scope:
Acer Server Contralti con BMC ASPEED AST2300 / AST2400 / AST2500 con firmware Vertiv Avocent MergePoint EMS.
Risoluzione:
Acer sta lavorando a stretto contatto con i fornitori per affrontare alcune vulnerabilità del firmware di gestione delle schede madri (BMC) che colpiscono alcuni dei suoi prodotti server Altos. Raccomandiamo ai clienti di limitare i loro rischi seguendo le migliori pratiche di sicurezza comuni, limitando l'accesso privilegiato agli amministratori di fiducia e applicando gli ultimi aggiornamenti del firmware di BMC non appena sono disponibili. I link a questi aggiornamenti saranno pubblicati di seguito non appena saranno disponibili.
Modelli interessati Acer:
Altos T310 F3
BMC Firmware - v1.41
AR460 F3
BMC Firmware - v8.86
AR480 F3
BMC Firmware - v8.86
Altos W2050-W270h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R480 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos W2200-W670h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R369 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos R389 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Maggiori informazioni
Per ulteriori informazioni, visitare il sito https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
Esclusione di responsabilità
LE INFORMAZIONI DI CUI SOPRA SONO FORNITE "COSÌ COME SONO" IN RELAZIONE AI PRODOTTI ACER E INTEL® . L'UTILIZZO DELLE INFORMAZIONI O DEI MATERIALI COLLEGATI DA QUESTA PAGINA È A PROPRIO RISCHIO E PERICOLO. ACER SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE QUESTA PAGINA IN QUALSIASI MOMENTO.