伺服器韌體爆3年重大漏洞,影響雲達伺服器

旗下數款產品存在一BMC韌體安全漏洞可使伺服器遭遇遠端程式碼執行攻擊。所幸雲達已經修補完成。

,多款雲達伺服器受到編號CVE-2019-6260的漏洞影響。研究人員並開發出一項概念驗證攻擊程式,展示能遠端存取系統的非授權攻擊者可在雲達伺服器的BMC內執行程式碼。

CVE-2019-6260漏洞外號為Pantsdown,根源在臺灣信驊科技(ASPEED)生產的基頻管理控制器(Baseband Management Controller,BMC)ASPEED ast2400及ast2500硬體與韌體。,ASPEED BMC SoC硬體功能的共用組態問題,讓惡意程式可從主機(少部份情況下可從BMC控制臺)非授權存取,而在BMC實體位址空間任意讀寫。,屬重大漏洞。

而基於供應鏈關係,3年前漏洞公布時,許多BMC韌體堆疊受到Pantsdown漏洞影響,包括OpenBMC、AIMI的BMC、及SuperMicro。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

Eclypsium指出,Pantsdown可讓攻擊者接管伺服器,可以在伺服器內植入勒索軟體、竊取機密或關閉BMC甚至整臺系統。若在BMC內執行程式碼,攻擊者還能竊取BMC登入憑證,而使其攻擊同一IPMI群組內的其他伺服器,是一重大風險漏洞。由於去年初還爆出網路上流傳以名為攻擊伺服器,因此研究人員呼籲QCT客戶要小心驗證其伺服器的元件安全性。

研究人員於去年10月通知雲達。雲達表示已經解決這項漏洞,並將更新後的韌體提供給客戶,但這些韌體將不會公開。

5/27 13:37 內文更正說明下圖紅框處「OpenBPC」有誤,修正為「OpenBMC」。

來源鏈接:https://www.ithome.com.tw/news/151172

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

您可能也會喜歡…