信息來源:cnBeta
Eclypsium 的研究人員披露了聯(lián)想和技嘉服務(wù)器所使用的 BMC 固件發(fā)現(xiàn)的漏洞。該漏洞可用于向固件植入惡意程序,使其難以探測或在硬盤格式化后仍然存在。但要利用漏洞,攻擊者需要已經(jīng)擁有管理員權(quán)限。
漏洞存在于 Vertiv 的 MergePoint EMS 基板管理控制器(BMC)固件內(nèi),該產(chǎn)品被用于聯(lián)想的服務(wù)器產(chǎn)品和技嘉的服務(wù)器主板。
研究人員在 2018 年 7 月報告給了聯(lián)想,11 月聯(lián)想釋出了補(bǔ)??;今年 3 月又在技嘉的主板相同固件內(nèi)發(fā)現(xiàn)了漏洞。
研究人員發(fā)現(xiàn)了兩個問題,其一時固件更新前沒有執(zhí)行加密簽名檢查,因此可被攻擊者安裝惡意固件;其二是 shell 命令注入漏洞。
上一篇:用戶信息泄露事件頻發(fā) 誰在侵犯網(wǎng)民信息安全?
下一篇:2019年07月19日 聚銘安全速遞