Acer Answers ความปลอดภัยและช่องโหว่

เฟิร์มแวร์ BMC ที่มีความเสี่ยงของเซิร์ฟเวอร์องค์กร

รายละเอียดช่องโหว่:

นักวิจัยได้ระบุช่องโหว่ใน Vertiv BMC (ตัวควบคุมการจัดการบอร์ดฐาน) ที่อาจทำให้เซิร์ฟเวอร์ถูกแฮ็กเพื่อดำเนินการโจมตีด้วยโค้ดใด ๆ ได้

ช่องโหว่หนึ่งคือเฟิร์มแวร์ BMC ไม่ทำการตรวจสอบลายเซ็นการเข้ารหัสก่อนที่จะรับการอัปเดตและเขียนไปยังหน่วยความจำแฟลช SPI

ช่องโหว่ประการที่สองคือการอัปเดตเฟิร์มแวร์มีช่องโหว่ในการแทรกคำสั่ง

ช่องโหว่ทั้งสองนี้อนุญาตให้ผู้โจมตีใช้สิทธิ์ผู้ดูแลระบบของโฮสต์เพื่อดำเนินการโค้ดตามต้องการบนเฟิร์มแวร์และทำการเปลี่ยนแปลงถาวรต่อเนื้อหาหน่วยความจำแฟลช SPI ใน BMC ผู้โจมตีสามารถเปลี่ยนแปลงสภาพแวดล้อมของ BMC เพื่อป้องกันการอัปเดตเฟิร์มแวร์ในอนาคตผ่านกลไกซอฟต์แวร์ ทำให้ BMC ถูกทำลายอย่างถาวรได้

ขอบเขตผลกระทบ:

Acer เซิร์ฟเวอร์ Altos ที่มี BMC ASPEED AST2300 / AST2400 / AST2500 พร้อมเฟิร์มแวร์ Vertiv Avocent MergePoint EMS

มติ:

Acer กำลังทำงานอย่างใกล้ชิดกับผู้จำหน่ายเพื่อแก้ไขช่องโหว่ในเฟิร์มแวร์ของตัวควบคุมการจัดการฐาน (BMC) ที่ส่งผลกระทบต่อผลิตภัณฑ์เซิร์ฟเวอร์ Altos บางรุ่น เราขอแนะนำให้ลูกค้าลดความเสี่ยงโดยปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทั่วไป จำกัดการเข้าถึงที่มีสิทธิพิเศษให้กับผู้ดูแลระบบที่เชื่อถือได้ และติดตั้งเฟิร์มแวร์ BMC และ CMC ล่าสุดตามด้านล่าง

รุ่นที่ได้รับผลกระทบของAcer และการอัปเดตเฟิร์มแวร์:

อัลทอส T310 F3

BMC Firmware -เวอร์ชัน 1.41

การแปล: "การแปล"

AR460 F3

BMC Firmware -เวอร์ชัน 8.86

AR480 F3

BMC Firmware -v8.86

อัลทอส W2050-W270h F4

BMC Firmware -เวอร์ชัน 1.91(เฉพาะสำหรับเฟิร์มแวร์ Vertiv BMC)

เฟิร์มแวร์ CMC - เวอร์ชัน 1.34

อัลทอส R480 F4

เฟิร์มแวร์ BMC - เวอร์ชัน 1.91(เฉพาะสำหรับเฟิร์มแวร์ Vertiv BMC)

อัลโตส W2200-W670h F4

เฟิร์มแวร์ BMC - เวอร์ชัน 1.91(เฉพาะสำหรับเฟิร์มแวร์ Vertiv BMC)

เฟิร์มแวร์ CMC - เวอร์ชัน 1.34การแปล: "การแปล"

การแปล: "การแปล"

อัลโตส R369 F4

BMC Firmware -เวอร์ชัน 1.91(เฉพาะสำหรับเฟิร์มแวร์ Vertiv BMC)

การแปล: "การแปล"

อัลโตส อาร์389 เอฟ4

BMC Firmware -เวอร์ชัน 1.91(เฉพาะสำหรับเฟิร์มแวร์ Vertiv BMC เท่านั้น)

ข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติม กรุณาเยี่ยมชม

คำแถลงการณ์ไม่รับผิดชอบ

ข้อมูลข้างต้นนี้จัดทำขึ้น "ตามสภาพที่เป็นอยู่" เพื่อใช้ร่วมกับผลิตภัณฑ์ของACER และ INTEL® การใช้ข้อมูลหรือเนื้อหาที่เชื่อมโยงจากหน้านี้ถือเป็นความเสี่ยงของท่านเองACER ขอสงวนสิทธิ์ในการเปลี่ยนแปลงหรือปรับปรุงหน้านี้ได้ตลอดเวลา https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf การแปล: "การแปล"

Swift Series Intel^® Evo™

Game Pass

Acer Corner

Gaming on Chromebook

Swift Series Intel® Evo™

Game Pass

Acer Corner

Gaming on Chromebook

Swift Series Intel^® Evo™