-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid ontdekt in Supermicro BMC firmware Advisory ID : NCSC-2023-0396 Versie : 1.00 Kans : medium CVE ID : CVE-2023-35861 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : medium (Remote) code execution (Gebruikersrechten) Toegang tot systeemgegevens Uitgiftedatum : 20230801 Toepassing : Supermicro Supermicro Versie(s) : X12 X13 H12 H13 Platform(s) : Beschrijving Er is een kwetsbaarheid ontdekt in de Baseboard Management Controller (BMC) van Supermicro X12, X13, H12 en H13 systemen. Een kwaadwillende met toegang tot het datacenter, kan de kwetsbaarheid misbruiken om willekeurige instellingen te wijzigen en daarmee de werking van de supermicro-systemen aan te passen middels het manipuleren van de SMTP-notifications. De onderzoeker heeft een blogpost gepubliceerd waarin hij uitlegt hoe de kwetsbaarheid gevonden is. De blogpost bevat te weinig details voor een Proof-of-Concept (PoC), maar waarschijnlijk is werkende PoC op redelijk korte termijn te verwachten vanwege de huidige interesse in Supply-chain kwetsbaarheden. Mogelijke oplossingen Supermicro heeft (nog) geen updates uitgebracht om de kwetsbaarheid te verhelpen in de BMC voor X12, X13, H12 en H13 platforms, maar werkt wel aan een oplossing. Supermicro adviseert om de releasenotes van het betreffende moederbord te monitoren. De releasenotes worden bijgewerkt wanneer een update beschikbaar is. Voor meer informatie, zie: https://www.supermicro.com/en/support/security_SMTP_Jun_2023 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBZMjOCv4Vd0fJc7lbAQr0+Qv+NYMxPulFSQQODF7vA+aR2Mf4CxnbMiWP 9lknD7piAuavnJpWBGbfbw3obVZWC5lxyoW3+AH40xdSOQ1jxmpFDB2NWxNfEU1C DkuOkPT2LC9URb6NDiY1H/nsu/oghwVyOtBDAVBmhS0nneIwcKvQjiqNeaeMjtDB muc0y3FhuGH9VHZpJ93k/3ZaLMy9NfX2cIsSS0RMy5bFYc6us2ZC5wbBfXDcXTkM 4zk5FSNlsZukpcRDymup8/v4ACR7YgJ97e6y8U9kJL81VcLKTHcCDRW+isj1zGVW sMB9NLFl6KI3qlizY0s9WEely2kJP8+zRoHjJURAieHdZypAiGMrVFP/MrGp5dAo FEEHt4AT38BLc8ZGmYQ0mGo2zXdUXEYgZVBQnzeCd48me8NOZrd/h1RFqopJo/tq DpbRARo+BGIU9h9/dV0pURMk3gX5sfWnBR11u9lV5AIf1Y926EYHzRculJfvU7Y6 6UVwk7w+m66+rgFhy21xMYr3dTBZi0dL =3tZF -----END PGP SIGNATURE-----