Firmware BMC vulnerabil al serverelor Enterprise

DETALII DE VULNERABILITATE:

Cercetătorii au identificat o vulerabilitate la Vertiv BMC (Baseboard Management controllers) care poate determina hacking-ul serverului pentru a executa orice atac de cod.

O vulnerabilitate este că firmware-ul BMC nu efectuează verificarea semnăturii criptografice înainte de a primi actualizări și de a scrie în memoria flash SPI.

A doua vulnerabilitate este că actualizarea firmware-ului are o vulnerabilitate de injectare a instrucțiunilor.

Ambele vulnerabilități permit unui atacator să utilizeze privilegiile de administrator al gazdei pentru a executa cod arbitrar pe firmware și pentru a face modificări permanente ale conținutului memoriei flash SPI din BMC. Atacatorul poate, de asemenea, să schimbe mediul BMC pentru a preveni actualizările viitoare ale firmware-ului prin mecanismul software, astfel încât BMC să poată fi distrus permanent.

Domeniul de aplicare al impactului:

Acer Servere Altos cu BMC-uri ASPEED AST2300 / AST2400 / AST2500 cu firmware Vertiv Avocent MergePoint EMS.

Rezoluție:

Acer colaborează îndeaproape cu furnizorii pentru a soluționa anumite vulnerabilități ale firmware-ului BMC (Baseboard Management Controller) care afectează unele dintre produsele sale server Altos. Recomandăm clienților să își limiteze riscul urmând cele mai bune practici comune de securitate, restricționând accesul privilegiat la administratorii de încredere și aplicând cele mai recente actualizări de firmware BMC și CMC de mai jos.

Afectate Acer Modele și actualizări de firmware:

Altos T310 F3

Firmware BMC - v1.41

AR460 F3

Firmware BMC - v8.86

AR480 F3

Firmware BMC - v8.86

Altos W2050-W270h F4