SZCZEGÓŁY DOTYCZĄCE PODATNOŚCI NA ZAGROŻENIA:
Naukowcy zidentyfikowali lukę w systemie Vertiv BMC (Baseboard Management Controllers), która może spowodować włamanie się do serwera w celu przeprowadzenia dowolnego ataku kodowego.
Jedną z luk jest to, że firmware BMC nie przeprowadza weryfikacji podpisu kryptograficznego przed otrzymaniem aktualizacji i zapisem do pamięci flash SPI.
Druga luka polega na tym, że aktualizacja firmware'u ma lukę we wstrzyknięciu instrukcji.
Obie luki umożliwiają atakującemu wykorzystanie uprawnień administratora hosta w celu wykonania dowolnego kodu na oprogramowaniu firmware i dokonania trwałych zmian w zawartości pamięci flash SPI w BMC. Napastnik może również zmienić środowisko BMC, aby zapobiec przyszłym aktualizacjom oprogramowania układowego poprzez mechanizm programowy, dzięki czemu BMC może zostać trwale zniszczone.
Zakres:
Serwery Acer Altos z ASPEED AST2300 / AST2400 / AST2500 BMCs z Vertiv Avocent MergePoint EMS firmware.
Rozwiązanie:
Acer ściśle współpracuje z dostawcami w celu usunięcia pewnych luk w firmware kontrolera baseboard management controller (BMC), które mają wpływ na niektóre produkty serwerowe Altos. Zalecamy, aby klienci ograniczyli swoje ryzyko, stosując najlepsze praktyki w zakresie bezpieczeństwa, ograniczając uprzywilejowany dostęp do zaufanych administratorów i stosując najnowsze aktualizacje oprogramowania układowego BMC, gdy tylko staną się one dostępne. Linki do tych aktualizacji zostaną zamieszczone poniżej, gdy tylko staną się dostępne.
Modele, których to dotyczy Acer:
Altos T310 F3
BMC Firmware - v1.41
AR460 F3
BMC Firmware - v8.86
AR480 F3
BMC Firmware - v8.86
Altos W2050-W270h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R480 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos W2200-W670h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R369 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos R389 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Więcej informacji
Dodatkowe informacje można znaleźć na stronie https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
Wyłączenie odpowiedzialności
POWYŻSZE INFORMACJE SĄ DOSTARCZANE "TAKIE, JAKIE SĄ" W ZWIĄZKU Z PRODUKTAMI ACER I INTEL®. KORZYSTANIE PRZEZ UŻYTKOWNIKA Z INFORMACJI LUB MATERIAŁÓW ZAMIESZCZONYCH NA TEJ STRONIE ODBYWA SIĘ NA WŁASNE RYZYKO. ACER ZASTRZEGA SOBIE PRAWO DO ZMIANY LUB AKTUALIZACJI TEJ STRONY W DOWOLNYM CZASIE.