マザーボード管理チップに脆弱性「USBAnywhere」が判明 - 影響機器がネット上に5万台弱

Supermicro製のサーバ向けマザーボードに搭載されており、エージェントレスで管理や監視が行えるマイコンチップ「Supermicro BMC（Baseboard Management Controller）」に脆弱性「USBAnywhere」が含まれていることが明らかとなった。

Eclypsiumが発見した「USBAnywhere」

同チップにおいて、ディスクイメージを仮想ドライブとしてサーバに接続できる「BMC/IPMI仮想メディア機能」に複数の脆弱性が明らかとなったもの。「同X11」「同X10」「同X9」が影響を受ける。

平文による認証のほか、トラフィックのほとんどが暗号化されておらず、暗号化を使用する場合も脆弱なアルゴリズムを使用。さらに認証のバイパスが可能となる脆弱性も含まれていることが明らかとなった。

いずれもEclypsiumが報告したもので、USBデバイスをインターネット経由でサーバへ仮想的に接続できることから、脆弱性を「USBAnywhere」と名付けた。

容易に悪用が可能で、関連するプロトコルを使用し、脆弱性の影響を受けると見られるシステムは、インターネット上に公開されているだけで少なくとも4万7000台にのぼると同社は指摘。警鐘を鳴らしている。

（Security NEXT - 2019/09/05 ） ツイート

PR

関連記事

「SSL VPN」の脆弱性探索行為、国内でも観測
Intel CPUにネットワーク経由で情報漏洩のおそれ - 「NetCAT攻撃」明らかに
OpenSSLにアップデート、重要度「低」の脆弱性3件に対応
「Chrome 77」で52件のセキュリティ修正 - EV証明書の常時組織名表示を削除
「Chrome」がアップデート、重要度「高」の脆弱性を修正
「Flash Player」に2件の深刻な脆弱性 - アップデートをリリース
MS、月例パッチで脆弱性79件を修正 - 一部でゼロデイ攻撃が発生
CMSの「SHIRASAGI」にオープンリダイレクトの脆弱性
法人向け「ウイルスバスター」狙う攻撃が複数発生 - 設定無効化のおそれ
「Exim」に深刻な脆弱性 - リモートよりコマンド実行のおそれ