DETAILS OVER DE KWETSBAARHEID:
Onderzoekers hebben met Vertiv BMC (Baseboard Management controllers) een vulerability geïdentificeerd die ervoor kan zorgen dat de server gehackt wordt om een codeaanval uit te voeren.
Een kwetsbaarheid is dat de BMC-firmware geen cryptografische handtekeningverificatie uitvoert alvorens updates te ontvangen en naar het SPI-flashgeheugen te schrijven.
De tweede kwetsbaarheid is dat de firmware-update een instructie-injectiekwetsbaarheid heeft.
Beide kwetsbaarheden stellen een aanvaller in staat om de rechten van de hostbeheerder te gebruiken om willekeurige code op de firmware uit te voeren en permanente wijzigingen aan te brengen in de inhoud van het SPI flashgeheugen in het BMC. De aanvaller kan ook de BMC-omgeving wijzigen om toekomstige firmware-updates via het softwaremechanisme te voorkomen, zodat de BMC permanent kan worden vernietigd.
Impact Scope:
Acer Altos Servers met ASPEED AST2300 / AST2400 / AST2500 BMC's met Vertiv Avocent MergePoint EMS firmware.
Resolutie:
Acer werkt nauw samen met leveranciers om bepaalde zwakke plekken in de firmware van de basiskaartbeheercontroller (BMC) aan te pakken die van invloed zijn op een aantal van haar Altos-serverproducten. Wij raden klanten aan om hun risico's te beperken door de gebruikelijke best practices op het gebied van beveiliging te volgen, door geprivilegieerde toegang tot vertrouwde beheerders te beperken en door de laatste BMC-firmware-updates toe te passen zodra deze beschikbaar zijn. Links naar deze updates zullen hieronder worden geplaatst zodra ze beschikbaar zijn.
Betrokken Acer modellen:
Altos T310 F3
BMC Firmware - v1.41
AR460 F3
BMC Firmware - v8.86
AR480 F3
BMC Firmware - v8.86
Altos W2050-W270h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R480 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos W2200-W670h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R369 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos R389 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Meer informatie
Voor meer informatie kun je terecht op https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
Disclaimer
DE BOVENSTAANDE INFORMATIE WORDT IN VERBAND MET ACER EN INTEL® PRODUCTEN "IN DE HUIDIGE STAAT" VERSTREKT. HET GEBRUIK VAN DE INFORMATIE OF HET MATERIAAL WAARNAAR OP DEZE PAGINA WORDT VERWEZEN, IS OP EIGEN RISICO. ACER BEHOUDT ZICH HET RECHT VOOR OM DEZE PAGINA OP ELK MOMENT TE WIJZIGEN OF BIJ TE WERKEN.