ДЕТАЛІ ПРО Уразливість:
Дослідники виявили вразливість у контролерах Vertiv BMC (Baseboard Management), яка може призвести до зламу сервера для виконання будь-якої кодової атаки.
Однією з недоліків є те, що мікропрограмне забезпечення BMC не виконує перевірку криптографічного підпису перед отриманням оновлень і записом у флеш-пам'ять SPI.
Друга вразливість полягає в тому, що оновлення мікропрограми має вразливість ін'єкції інструкцій.
Обидві вразливості дозволяють зловмиснику використовувати права адміністратора хоста для виконання довільного коду у мікропрограмі та внесення постійних змін до вмісту флеш-пам’яті SPI в BMC. Зловмисник також може змінити середовище BMC, щоб запобігти майбутнім оновленням мікропрограми через механізм програмного забезпечення, щоб BMC можна було остаточно знищити.
Обсяг впливу:
Сервери Acer Altos з BMC ASPEED AST2300 / AST2400 / AST2500 з мікропрограмою Vertiv Avocent MergePoint EMS.
Роздільна здатність:
Acer тісно співпрацює з постачальниками, щоб усунути певні вразливості мікропрограмного забезпечення контролера керування базовою платою (BMC), які впливають на деякі серверні продукти Altos. Ми рекомендуємо клієнтам обмежити свої ризики, дотримуючись загальних найкращих методів безпеки, обмежуючи привілейований доступ довіреним адміністраторам і застосовуючи найновіші оновлення мікропрограмного забезпечення BMC і CMC, наведені нижче.
Застосовані моделі Acer та оновлення мікропрограми:
Altos T310 F3
Прошивка BMC - v1.41
AR460 F3
Прошивка BMC - v8.86
AR480 F3
Прошивка BMC - v8.86
Altos W2050-W270h F4
Прошивка BMC - v1.91 (тільки для прошивки Vertiv BMC)
Прошивка CMC - v1.34
Altos R480 F4
Прошивка BMC - v1.91 (тільки для прошивки Vertiv BMC)
Altos W2200-W670h F4
Прошивка BMC - v1.91 (тільки для прошивки Vertiv BMC)
Прошивка CMC - v1.34
Altos R369 F4
Прошивка BMC - v1.91 (тільки для прошивки Vertiv BMC)
Altos R389 F4
Прошивка BMC - v1.91 (тільки для прошивки Vertiv BMC)
Більше інформації
Для отримання додаткової інформації відвідайте https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
Відмова від відповідальності
Вищенаведена інформація НАДАЄТЬСЯ "ЯК Є" У ЗВ'ЯЗКУ З ПРОДУКТАМИ ACER ТА INTEL®. ВИ ВИКОРИСТОВУЄТЕ ІНФОРМАЦІЮ АБО МАТЕРІАЛИ, НА ДАНІ ПОСИЛАННЯ З ЦІЄЇ СТОРІНКИ, НА ВАШ ВЛАСНИЙ ризик. ACER ЗАЛИШАЄ ЗА ПРАВО ЗМІНИТИ АБО оновлювати ЦЮ СТОРІНКУ У БУДЬ-який час.