GÜVENLİK AÇIĞI DETAYLARI:
Araştırmacılar, Vertiv BMC'de (Baseboard Management denetleyicileri), sunucunun herhangi bir kod saldırısı gerçekleştirmek üzere saldırıya uğramasına neden olabilecek bir güvenlik açığı tespit etti.
Bir güvenlik açığı, BMC ürün yazılımının, güncellemeleri almadan ve SPI flash belleğe yazmadan önce kriptografik imza doğrulaması yapmamasıdır.
İkinci güvenlik açığı, ürün yazılımı güncellemesinin talimat ekleme güvenlik açığına sahip olmasıdır.
Her iki güvenlik açığı da bir saldırganın ana bilgisayar yöneticisi ayrıcalıklarını kullanarak ürün yazılımı üzerinde rastgele kod yürütmesine ve BMC'deki SPI flash bellek içeriğinde kalıcı değişiklikler yapmasına olanak tanır. Saldırgan ayrıca yazılım mekanizması aracılığıyla gelecekteki ürün yazılımı güncellemelerini önlemek için BMC ortamını değiştirebilir, böylece BMC kalıcı olarak yok edilebilir.
Etki Kapsamı:
Vertiv Avocent MergePoint EMS bellenimine sahip ASPEED AST2300 / AST2400 / AST2500 BMC'lere sahip Acer Altos Sunucuları.
Çözünürlük:
Acer, Altos sunucu ürünlerinden bazılarını etkileyen belirli temel kart yönetim denetleyicisi (BMC) ürün yazılımı güvenlik açıklarını gidermek için satıcılarla yakın işbirliği içinde çalışıyor. Müşterilerin, ortak güvenlik en iyi uygulamalarını takip ederek, ayrıcalıklı erişimi güvenilir yöneticilerle sınırlandırarak ve aşağıdaki en son BMC ve CMC ürün yazılımı güncellemelerini uygulayarak risklerini sınırlamalarını öneririz.
Etkilenen Acer Modelleri ve ürün yazılımı güncellemeleri:
Altos T310 F3
BMC Aygıt Yazılımı - v1.41
AR460 F3
BMC Aygıt Yazılımı - v8.86
AR480 F3
BMC Aygıt Yazılımı - v8.86
Altos W2050-W270h F4
BMC Aygıt Yazılımı - v1.91(yalnızca Vertiv BMC Firmware için)
CMC Aygıt Yazılımı -v1.34
Altos R480 F4
BMC Aygıt Yazılımı -v1.91(yalnızca Vertiv BMC Firmware için)
Altos W2200-W670h F4
BMC Aygıt Yazılımı -v1.91(yalnızca Vertiv BMC Firmware için)
CMC Aygıt Yazılımı -v1.34
Altos R369 F4
BMC Aygıt Yazılımı - v1.91(yalnızca Vertiv BMC Firmware için)
Altos R389 F4
BMC Aygıt Yazılımı - v1.91(yalnızca Vertiv BMC Firmware için)
Daha fazla bilgi
Daha fazla bilgi için lütfen şu adresi ziyaret edin:
Sorumluluk reddi beyanı
YUKARIDAKİ BİLGİLER ACER VE INTEL® ÜRÜNLERİYLE BAĞLANTILI OLARAK "OLDUĞU GİBİ" SAĞLANMAKTADIR. BU SAYFADA BAĞLANTILI BİLGİ VEYA MATERYALLERİ KULLANIMINIZIN RİSKİ SİZE AİTTİR. ACER BU SAYFAYI İSTEDİĞİ ZAMAN DEĞİŞTİRME VEYA GÜNCELLEME HAKKINI SAKLI TUTAR.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
