SZCZEGÓŁY PODatności na zagrożenia:
Badacze zidentyfikowali lukę w Vertiv BMC (kontrolery zarządzania płytą główną), która może spowodować włamanie do serwera w celu wykonania dowolnego ataku kodem.
Jedną z luk jest to, że oprogramowanie układowe BMC nie przeprowadza weryfikacji podpisu kryptograficznego przed otrzymaniem aktualizacji i zapisem w pamięci flash SPI.
Druga luka polega na tym, że aktualizacja oprogramowania sprzętowego zawiera lukę umożliwiającą wstrzykiwanie instrukcji.
Obie luki umożliwiają atakującemu wykorzystanie uprawnień administratora hosta w celu wykonania dowolnego kodu w oprogramowaniu sprzętowym i wprowadzenia trwałych zmian w zawartości pamięci flash SPI w kontrolerze BMC. Osoba atakująca może również zmienić środowisko BMC, aby zapobiec przyszłym aktualizacjom oprogramowania sprzętowego za pośrednictwem mechanizmu oprogramowania, dzięki czemu BMC może zostać trwale zniszczone.
Zakres wpływu:
Serwery Acer Altos z modułami BMC ASPEED AST2300 / AST2400 / AST2500 z oprogramowaniem Vertiv Avocent MergePoint EMS.
Rezolucja:
Firma Acer ściśle współpracuje z dostawcami, aby wyeliminować pewne luki w oprogramowaniu sprzętowym kontrolera zarządzania płytą główną (BMC), które wpływają na niektóre produkty serwerowe Altos. Zalecamy, aby klienci ograniczali ryzyko, postępując zgodnie z typowymi najlepszymi praktykami w zakresie bezpieczeństwa, ograniczając uprzywilejowany dostęp do zaufanych administratorów oraz stosując najnowsze aktualizacje oprogramowania sprzętowego BMC i CMC poniżej.
Dotknięte modele Acer i aktualizacje oprogramowania sprzętowego:
Altos T310 F3
Oprogramowanie układowe BMC — wersja 1.41
AR460 F3
Oprogramowanie układowe BMC — wersja 8.86
AR480 F3
Oprogramowanie układowe BMC — wersja 8.86
Altos W2050-W270h F4
Oprogramowanie układowe BMC — wersja 1.91(tylko dla oprogramowania układowego Vertiv BMC)
Oprogramowanie układowe CMC —wersja 1.34
Altos R480 F4
Oprogramowanie układowe BMC —wersja 1.91(tylko dla oprogramowania sprzętowego Vertiv BMC)
Altos W2200-W670h F4
Oprogramowanie układowe BMC —wersja 1.91(tylko dla oprogramowania sprzętowego Vertiv BMC)
Oprogramowanie układowe CMC —wersja 1.34
Altos R369 F4
Oprogramowanie układowe BMC — wersja 1.91(tylko dla oprogramowania sprzętowego Vertiv BMC)
Altos R389 F4
Oprogramowanie układowe BMC — wersja 1.91(tylko dla oprogramowania układowego Vertiv BMC)
Więcej informacji
Aby uzyskać dodatkowe informacje, odwiedź stronę
Zastrzeżenie
POWYŻSZE INFORMACJE SĄ DOSTARCZANE „TAKIE, JAKIE SĄ” W POŁĄCZENIU Z PRODUKTAMI ACER I INTEL®. KORZYSTASZ Z INFORMACJI LUB MATERIAŁÓW, DO których łącza znajdują się na tej stronie, NA WŁASNE RYZYKO. ACER ZASTRZEGA PRAWO DO ZMIANY LUB AKTUALIZACJI TEJ STRONY W DOWOLNYM CZASIE.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
