今年初,安全廠商Eclypsium研究人員,就曾經揭露BMC(伺服器遠端管理晶片)的漏洞,當時是發生在主機板廠商Supermicro,並突顯該漏洞對於公有雲服務環境的風險,這次他們再次發現BMC的重大漏洞,並指出企業伺服器供應鏈中的韌體弱點問題。
值得注意的是,這次他們具體指出了BMC漏洞問題的供應商,是出在Avocent(Vertiv子公司)提供的BMC韌體,並發現有多家業者主機板使用該BMC韌體,像是聯想與技嘉等6家業者。例如,這次研究人員指出,技嘉產品使用有問題的BMC為ASPEED AST2400、AST2500,據瞭解,生產BMC的硬體製造商信驊科技Aspeed就與Avocent、AMI與系微科技合作,由於這次問題出在Avocent,因此主板業者採用另兩家業者BMC韌體的產品,則不受影響。
至於這次的兩個漏洞,一是在BMC韌體更新前未做加密簽章驗證。二是韌體更新行程本身有指令注入漏洞。目前,他們已陸續通知聯想、技嘉與Vertiv
Search