KWETSBAARHEIDSDETAILS:
Onderzoekers hebben een kwetsbaarheid met Vertiv BMC (Baseboard Management-controllers) geïdentificeerd die ervoor kan zorgen dat de server wordt gehackt om een codeaanval uit te voeren.
Eén kwetsbaarheid is dat de BMC-firmware geen cryptografische handtekeningverificatie uitvoert voordat updates worden ontvangen en naar het SPI-flashgeheugen wordt geschreven.
De tweede kwetsbaarheid is dat de firmware-update een kwetsbaarheid voor instructie-injectie bevat.
Beide kwetsbaarheden stellen een aanvaller in staat de hostbeheerdersrechten te gebruiken om willekeurige code op de firmware uit te voeren en permanente wijzigingen aan te brengen in de inhoud van het SPI-flashgeheugen in de BMC. De aanvaller kan via het softwaremechanisme ook de BMC-omgeving wijzigen om toekomstige firmware-updates te voorkomen, zodat de BMC permanent kan worden vernietigd.
Impactbereik:
Acer Altos-servers met ASPEED AST2300 / AST2400 / AST2500 BMC's met Vertiv Avocent MergePoint EMS-firmware.
Oplossing:
Acer werkt nauw samen met leveranciers om bepaalde kwetsbaarheden in de baseboard management controller (BMC)-firmware aan te pakken die van invloed zijn op sommige van zijn Altos-serverproducten. We raden klanten aan hun risico te beperken door algemene best practices op het gebied van beveiliging te volgen, geprivilegieerde toegang tot vertrouwde beheerders te beperken en door de nieuwste BMC- en CMC-firmware-updates hieronder toe te passen.
Betrokken Acer-modellen en firmware-updates:
Alten T310 F3
BMC-firmware - v1.41
AR460 F3
BMC-firmware - v8.86
AR480F3
BMC-firmware - v8.86
Alten W2050-W270h F4
BMC-firmware - v1.91(alleen voor Vertiv BMC-firmware)
CMC-firmware -v1.34
Alten R480 F4
BMC-firmware -v1.91(alleen voor Vertiv BMC-firmware)
Alt W2200-W670h F4
BMC-firmware -v1.91(alleen voor Vertiv BMC-firmware)
CMC-firmware -v1.34
Alten R369 F4
BMC-firmware - v1.91(alleen voor Vertiv BMC-firmware)
Alten R389 F4
BMC-firmware - v1.91(alleen voor Vertiv BMC-firmware)
Meer informatie
Voor meer informatie kunt u terecht op
Vrijwaring
DE BOVENSTAANDE INFORMATIE WORDT GELEVERD "AS IS" IN VERBAND MET ACER- EN INTEL®-PRODUCTEN. UW GEBRUIK VAN DE INFORMATIE OF HET MATERIALEN GEKOPPELD OP DEZE PAGINA IS OP EIGEN RISICO. ACER BEHOUDT ZICH HET RECHT VOOR OM DEZE PAGINA TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE UPDATEN.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
