NCSC | Beveiligingsadviezen
Bekijk RSS-feed

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2023-0396

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid ontdekt in Supermicro BMC firmware
Advisory ID     : NCSC-2023-0396
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2023-35861
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : medium
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20230801
Toepassing      : Supermicro Supermicro
Versie(s)       : X12
                  X13
                  H12
                  H13
Platform(s)     :

Beschrijving
   Er is een kwetsbaarheid ontdekt in de Baseboard Management
   Controller (BMC) van Supermicro X12, X13, H12 en H13 systemen. Een
   kwaadwillende met toegang tot het datacenter, kan de kwetsbaarheid
   misbruiken om willekeurige instellingen te wijzigen en daarmee de
   werking van de supermicro-systemen aan te passen middels het
   manipuleren van de SMTP-notifications.

   De onderzoeker heeft een blogpost gepubliceerd waarin hij uitlegt
   hoe de kwetsbaarheid gevonden is. De blogpost bevat te weinig
   details voor een Proof-of-Concept (PoC), maar waarschijnlijk is
   werkende PoC op redelijk korte termijn te verwachten vanwege de
   huidige interesse in Supply-chain kwetsbaarheden.

Mogelijke oplossingen
   Supermicro heeft (nog) geen updates uitgebracht om de kwetsbaarheid
   te verhelpen in de BMC voor X12, X13, H12 en H13 platforms, maar
   werkt wel aan een oplossing. Supermicro adviseert om de releasenotes
   van het betreffende moederbord te monitoren. De releasenotes worden
   bijgewerkt wanneer een update beschikbaar is. Voor meer informatie,
   zie:

   https://www.supermicro.com/en/support/security_SMTP_Jun_2023

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=3tZF
-----END PGP SIGNATURE-----