Supermicro BMC Sicherheitsupdates 2024-04
Im April 2024 wurden von Supermicro mehrere BMC Firmware Updates für X11, X12, X13, H11, H12, H13, M11, M12, B11 und B12 Mainboards zur Behebung von Sicherheitslücken in der BMC Firmware veröffentlicht. Thomas-Krenn empfiehlt generell, Fernwartungszugänge wie IPMI oder Redfish oder SSH nur geschützt hinter Firewalls/VPNs zu betreiben und nicht offen im Internet bereitzustellen - siehe dazu auch IPMI Best Practices.
Hier ein Auszug der tabellarischen Übersicht zu den Sicherheitslücken von Supermicro:[1]
Issue ID | Severity | Issue Type | Description |
---|---|---|---|
SMCI ID: SMC-2024010010
CVE ID: TBD Binarly ID: BRLY-2023-022 |
High | Command Injection Attack | Backend command used by the BMC for SMTP notification will accept un-sanitized credentials that allow for BMC OS command injection.
A BMC account with administrator privilege is required to be logged in. Supermicro CVSSv3 score: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) |
SMCI ID: SMC-2024010011
CVE ID: TBD Binarly ID: BRLY-2023-023 |
High | XSS attack | Poisoned lang local storage item is evaluated without sanitation that allow the unauthorized creation of user accounts
on behalf of the logged in user accounts on behalf of the logged in account with administrator privileges. Supermicro CVSSv3 score: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
SMCI ID: SMC-2024010012
CVE ID: CVE-2023-33413 Binarly ID: BRLY-2023-030 |
High | Command Injection attack | Supermicro’s BMC allows an SNMP configuration file to be uploaded and applied.
The configuration file could be used to load additional modules from unauthorized dynamic libraries. The malicious configuration is persistent across BMC reboots. A BMC account with administrator privilege is required. Supermicro CVSSv3 score: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
BMC Firmware Updates
Wir testen entsprechende Updates auf Kompatibilität und stellen sie anschließend in unserem Download-Bereich zur Verfügung.
Einzelnachweise
- ↑ Vulnerabilities in Supermicro BMC Firmware, April 2024 (www.supermicro.com, April 2024)