ДЕТАЛІ ПРО ВРАЗЛИВІСТЬ:
Дослідники виявили вразливість Vertiv BMC (контролерів керування базовою платою), яка може призвести до злому сервера для виконання будь-якої кодової атаки.
Однією з вразливостей є те, що мікропрограма BMC не виконує перевірку криптографічного підпису перед отриманням оновлень і записом у флеш-пам’ять SPI.
Друга вразливість полягає в тому, що оновлення мікропрограми містить уразливість ін’єкції інструкцій.
Обидві вразливості дозволяють зловмиснику використовувати права адміністратора хоста для виконання довільного коду в мікропрограмі та внесення постійних змін у вміст флеш-пам’яті SPI в BMC. Зловмисник також може змінити середовище BMC, щоб запобігти майбутнім оновленням прошивки за допомогою механізму програмного забезпечення, щоб BMC можна було остаточно знищити.
Сфера впливу:
Сервери Acer Altos з BMC ASPEED AST2300 / AST2400 / AST2500 із мікропрограмою Vertiv Avocent MergePoint EMS.
роздільна здатність:
Acer тісно співпрацює з постачальниками, щоб усунути певні вразливості вбудованого програмного забезпечення контролера керування базовою платою (BMC), які впливають на деякі серверні продукти Altos. Ми рекомендуємо клієнтам обмежити свій ризик, дотримуючись загальних найкращих практик безпеки, обмежуючи привілейований доступ довіреним адміністраторам і застосовуючи останні оновлення мікропрограми BMC і CMC, наведені нижче.
Постраждалі моделі Acer і оновлення мікропрограми:
Altos T310 F3
Прошивка BMC - v1.41
AR460 F3
Прошивка BMC - v8.86
AR480 F3
Прошивка BMC - v8.86
Altos W2050-W270h F4
Прошивка BMC - v1.91(лише для мікропрограми Vertiv BMC)
Прошивка CMC -v1.34
Altos R480 F4
Прошивка BMC -v1.91(лише для мікропрограми Vertiv BMC)
Altos W2200-W670h F4
Прошивка BMC -v1.91(лише для мікропрограми Vertiv BMC)
Прошивка CMC -v1.34
Altos R369 F4
Прошивка BMC - v1.91(лише для мікропрограми Vertiv BMC)
Altos R389 F4
Прошивка BMC - v1.91(лише для мікропрограми Vertiv BMC)
Більше інформації
Для отримання додаткової інформації, будь ласка, відвідайте
Відмова від відповідальності
ВИЩЕНАВЕДЕНА ІНФОРМАЦІЯ НАДАЄТЬСЯ «ЯК Є» ПОВ’ЯЗАНО З ПРОДУКТАМИ ACER ТА INTEL®. ВИ ВИКОРИСТОВУЄТЕ ІНФОРМАЦІЮ АБО МАТЕРІАЛИ, ПОСИЛАННЯ НА ЦІЮ СТОРІНКУ, НА ВАШ ВЛАСНИЙ РИЗИК. КОМПАНІЯ ACER ЗАЛИШАЄ ЗА собою ПРАВО ЗМІНИТИ АБО ОНОВИТИ ЦЮ СТОРІНКУ У БУДЬ-ЯКИЙ ЧАС.
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
