芯片巨头 Intel 发布警告称,Intel Server 产品中的基板管理控制器 (BMC) 固件存在13个漏洞,其中包含一个可导致信息泄露或攻击者提权的严重漏洞。
今年,BMC 固件进入大众视野,原因是其中出现多个缺陷,可导致攻击者劫持云服务器,以及多个大牌服务器产品中存在多个难以修复的漏洞。
BMC 用于多家硬件制造商,它是管理员在主机系统的 CPU、固件和操作系统视图之外可管理和监控系统的子系统的一部分。Intel 是该子系统计算机接口的主要支持者。这个子系统即智能的平台管理接口 (intelligent Platform Management Interface, IPMI),它使管理员能够在操作系统和固件层级别远程对系统执行一些动作。
换句话说,BMC 是强大能力集的一部分。然而,硬件制造商并不一定总是在意BMC 的安全性是如何保证的,而它们正是军事攻击者通常很可能查找的漏洞类型。
而微软正在推出新型“Secured-core(安全核)”个人电脑的原因之一就是固件攻击,这些攻击能够获得的权限甚至要比 Windows 内核还高。微软这么做的原因就是黑客试图绕过微软用于保护 Xbox 内容的数字权利管理 (DRM) 技术。否则,BMC 固件所遭受的攻击无法被杀毒技术检测出来,如 Microsoft Defender。
虽然Intel 并未透露很多关于影响其服务器产品的 BMC 固件缺陷的详情,但它表示该严重缺陷是存在于 BMC 固件中的“堆损坏”漏洞,“可导致未经验证的用户可能暴露信息,提权以及/或者通过网络访问权限造成拒绝服务”。它的严重等级为9分(满分为10)。
这13个漏洞影响Intel 的Server Board、Compute Module 和 Server System 系列产品。每款产品有十几个模型都受影响。
受影响的IntelServer Board产品的模型号码是:BBS2600BPB、BBS2600BPQ、BBS2600BPS、BBS2600BPBR、BBS2600BPQR、BBS2600BPSR、S2600WF0、 S2600WFQ、S2600WFT、S2600WF0R、S2600WFQR、S2600WFTR、S2600STB、 S2600STQ、S2600STBR、S2600STQR、BBS2600STB、BBS2600STQ、BBS2600STBR和 BBS2600STQR。
受影响的Intel Compute Modules 的模型号码是:HNS2600BPB、HNS2600BPQ、HNS2600BPS、HNS2600BPB24、HNS2600BPQ24、HNS2600BPS24、HNS2600BPBLC、HNS2600BPBLC24、HNS2600BPBR、HNS2600BPBRX、HPCHNS2600BPBR、HNS2600BPQR、HPCHNS2600BPQR、HNS2600BPSR、HPCHNS2600BPSR、HNS2600BPB24R、HNS2600BPB24RX、HNS2600BPQ24R、HNS2600BPS24R、HNS2600BPBLCR、HNS2600BPBLC24R、S9256WK1HLC、S9248WK1HLC、S9232WK1HLC、S9248WK2HLC、S9232WK2HLC、S9248WK2HAC和S9232WK2HAC。
受影响的Intel Server System 包括:R1304WF0YS、R1304WFTYS、R1208WFTYS、R2308WFTZS、R2208WF0ZS、R2208WFTZS、R2208WFQZS、R2312WF0NP、R2312WFTZS、R2312WFQZS、R2224WFQZS、R2224WFTZS、R1208WFTYSR、HPCR1208WFTYSR、R1304WF0YSR、HPCR1304WF0YSR、R1304WFTYSR、HPCR1304WFTYSR、R2208WFTZSR、R2208WFTZSRX、HPCR2208WFTZSR、HPCR2208WFTZSRX、R2208WF0ZSR、HPCR2208WF0ZSR、R2224WFTZSR、HPCR2224WFTZSR、R2308WFTZSR、HPCR2308WFTZSR、R2312WFTZSR、HPCR2312WFTZSR、R2312WF0NPR、HPCR2312WF0NPR、R2208WFQZSR、HPCR2208WFQZSR、R1208WFQYSR和HPCR1208WFQYSR。
Intel 表示,这些漏洞“都是由 Intel 内部发现的”,不致谢找到该严重漏洞 (CVE-2019-11171) 的研究员 Daniel Medina Velazquez。
Intel 建议将 BMC 固件更新至版本 2.18或后续版本修复这个问题。
原文链接
https://www.zdnet.com/article/intel-warning-critical-flaw-in-bmc-firmware-affects-a-ton-of-server-products
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。