CHI TIẾT VỀ LỖ HỔNG BẢO MẬ
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng bảo mật trong bộ điều khiển quản lý bo mạch chủ (BMC) của Vertiv, có thể khiến máy chủ bị hack để thực thi các cuộc tấn công mã độc.
Một lỗ hổng bảo mật là firmware BMC không thực hiện xác minh chữ ký mật mã trước khi nhận các bản cập nhật và ghi vào bộ nhớ flash SPI.
Lỗ hổng bảo mật thứ hai là bản cập nhật firmware có lỗ hổng tiêm mã lệnh.
Cả hai lỗ hổng bảo mật đều cho phép kẻ tấn công sử dụng quyền quản trị viên của hệ thống để thực thi mã tùy ý trên firmware và thực hiện các thay đổi vĩnh viễn đối với nội dung bộ nhớ flash SPI trong BMC. Kẻ tấn công cũng có thể thay đổi môi trường BMC để ngăn chặn các bản cập nhật firmware trong tương lai thông qua cơ chế phần mềm, khiến BMC có thể bị hủy hoại vĩnh viễn.
Phạm vi tác động:
Acer Máy chủ Altos với BMC ASPEED AST2300 / AST2400 / AST2500 và phần mềm quản lý hệ thống EMS Vertiv Avocent MergePoint.
Quyết định:
Acer Đang hợp tác chặt chẽ với các nhà cung cấp để khắc phục một số lỗ hổng bảo mật trong firmware của bộ điều khiển quản lý bo mạch chủ (BMC) ảnh hưởng đến một số sản phẩm máy chủ Altos của công ty. Chúng tôi khuyến nghị khách hàng hạn chế rủi ro bằng cách tuân thủ các nguyên tắc bảo mật thông dụng, hạn chế quyền truy cập đặc quyền cho các quản trị viên đáng tin cậy và áp dụng các bản cập nhật firmware BMC và CMC mới nhất dưới đây.
Các mẫu máy ảnh ảnh kỹ thuật số ( Acer ) bị ảnh hưởng và bản cập nhật firmware:
Altos T310 F3
Phần mềm hệ thống BMC -Phiên bản 1.41
AR460 F3
Phần mềm hệ thống BMC -Phiên bản 8.86
AR480 F3
Phần mềm hệ thống BMC -Phiên bản 8.86
Altos W2050-W270h F4
Phần mềm hệ thống BMC -Phiên bản 1.91 (Chỉ áp dụng cho firmware BMC của Vertiv)
Phần mềm hệ thống CMC - Phiên bản 1.34
Altos R480 F4
Phần mềm hệ thống BMC - Phiên bản 1.91 (Chỉ áp dụng cho firmware BMC của Vertiv)
Altos W2200-W670h F4
Phần mềm hệ thống BMC - Phiên bản 1.91 (Chỉ áp dụng cho firmware BMC của Vertiv)
Phần mềm hệ thống CMC - Phiên bản 1.34
Altos R369 F4
Phần mềm hệ thống BMC -Phiên bản 1.91 (Chỉ áp dụng cho firmware BMC của Vertiv)
Altos R389 F4
Phần mềm hệ thống BMC -Phiên bản 1.91 (Chỉ dành cho firmware BMC của Vertiv)
Thông tin chi tiết
Để biết thêm thông tin, vui lòng truy cập
Lưu ý
THÔNG TIN TRÊN ĐƯỢC CUNG CẤP "NGUYÊN TRẠNG" LIÊN QUAN ĐẾN ACER VÀ CÁC SẢN PHẨM INTEL®. VIỆC SỬ DỤNG THÔNG TIN HOẶC TÀI LIỆU ĐƯỢC LIÊN KẾT TỪ TRANG NÀY LÀ TRÁCH NHIỆM CỦA BẠN. ACER GIỮ QUYỀN THAY Đ��
https://eclypsium.com/wp-content/uploads/2019/07/Vulnerable-Firmware-in-the-Supply-Chain.pdf
