DETALHES DE VULNERABILIDADE:
Pesquisadores identificaram uma vulerabilidade com Vertiv BMC (Baseboard Management Controllers) que pode fazer com que o servidor seja hackeado para executar qualquer ataque de código.
Uma vulnerabilidade é que o firmware da BMC não realiza verificação de assinatura criptográfica antes de receber atualizações e gravar na memória flash SPI.
A segunda vulnerabilidade é que a atualização do firmware tem uma vulnerabilidade de injeção de instrução.
Ambas as vulnerabilidades permitem que uma outra pessoa use os privilégios de administrador do host para executar códigos arbitrários no firmware e fazer alterações permanentes no conteúdo da memória flash SPI na BMC. O atacante também pode alterar o ambiente da BMC para evitar futuras atualizações de firmware através do mecanismo de software, para que a BMC possa ser permanentemente destruída.
Âmbito de aplicação do impacto:
Acer Servidores Altos com ASPEED AST2300 / AST2400 / AST2500 BMCs com firmware Vertiv Avocent MergePoint EMS.
Resolução:
Acer está trabalhando de perto com fornecedores para resolver certas vulnerabilidades de firmware do controlador de gerenciamento de rodapé (BMC) que afetam alguns de seus produtos de servidor Altos. Recomendamos que os clientes limitem seus riscos seguindo as práticas recomendadas de segurança comuns, restringindo o acesso privilegiado a administradores confiáveis e aplicando as atualizações de firmware mais recentes da BMC assim que estiverem disponíveis. Os links para essas atualizações serão postados abaixo quando estiverem disponíveis.
Modelos afetados Acer:
Altos T310 F3
BMC Firmware - v1.41
AR460 F3
BMC Firmware - v8.86
AR480 F3
BMC Firmware - v8.86
Altos W2050-W270h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R480 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos W2200-W670h F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
CMC Firmware - v1.34
Altos R369 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Altos R389 F4
BMC Firmware - v1.91 (only for Vertiv BMC Firmware)
Mais informações
Para mais informações, visite https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
Declaração de exoneração de responsabilidade
AS INFORMAÇÕES ACIMA SÃO FORNECIDAS "COMO ESTÃO" EM RELAÇÃO AOS PRODUTOS ACER E INTEL®. O USO DAS INFORMAÇÕES OU MATERIAIS LIGADOS A ESTA PÁGINA É POR SUA CONTA E RISCO. ACER RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR ESTA PÁGINA A QUALQUER MOMENTO.