Er zijn zeven kwetsbaarheden gevonden in de baseboard management controllers (BMC’s) van Supermicro. Hackers kunnen deze misbruiken om volledige controle op te eisen. Hoewel de patches zijn vrijgegeven, kunnen de kwetsbaarheden nog lange tijd voortbestaan doordat de patches niet gedwongen doorgevoerd worden.
Volgens Supermicro hebben de zeven kwetsbaarheden in hun baseboard management controllers (BMC’s) een kwetsbaarheidsscore tussen de 7,2 en de 8,3 op tien. Het bedrijf geeft er daarmee zelf al blijk van dat de problemen niet simpelweg genegeerd kunnen worden en volgens andere security-onderzoekers onderschat het bedrijf zelfs de scores.
Een kwetsbaarheid op een BMC is overigens nooit iets om licht over te gaan. Een hacker die controle krijgt over een BMC kan namelijk een server overnemen. Dat geeft de mogelijkheid opgeslagen data te verwijderen of malware te verspreiden.
Getroffen toestellen
Eerder deze week brachten onderzoekers van Binarly een rapport uit waarin zij de kwetsbaarheden besproken. De problemen komen voor in de Intelligent Platform Management Interface (IPMI), dat oudere BMC’s nog in zich dragen.
Supermicro verduidelijkt de situatie en maakt bekend dat het om volgende toestellen gaat: “specifieke X11-, H11-, B11-, CMM-, M11- en H12-moederborden”. Het bedrijf zegt niet op de hoogte te zijn van situaties waarin de kwetsbaarheden al werden uitgebuit.
Patches
Het bedrijf laat de problemen niet voortbestaan en maakte onmiddellijk patches beschikbaar. IT-administratoren zullen deze zelf moeten installeren, aangezien de patches niet in een automatische update worden meegegeven.
Volgens de CEO van Binarly, het bedrijf dat de kwetsbaarheden ontdekten, is het mogelijk dat Supermicro niet als enige getroffen wordt door de problemen: “Dit is een supply chain-probleem, omdat andere BMC-leveranciers potentieel door deze kwetsbaarheden kunnen worden getroffen.” De kwetsbaarheden zijn namelijk het gevolg van IPMI-firmware van ATEN en ook aan andere bedrijven levert. ATEN bracht een half jaar geleden een patch uit voor het probleem, maar deze is nooit doorgestroomd naar de firmware.
Lees ook: Supermicro benut potentieel om uit te groeien tot grote hardwareleverancier
19 uur geleden
