安全動態(tài)

聯(lián)想和技嘉服務(wù)器固件發(fā)現(xiàn)可利用的漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-07-19    瀏覽次數(shù):
 

信息來源:cnBeta

Eclypsium 的研究人員披露了聯(lián)想和技嘉服務(wù)器所使用的 BMC 固件發(fā)現(xiàn)的漏洞。該漏洞可用于向固件植入惡意程序,使其難以探測或在硬盤格式化后仍然存在。但要利用漏洞,攻擊者需要已經(jīng)擁有管理員權(quán)限。

漏洞存在于 Vertiv 的 MergePoint EMS 基板管理控制器(BMC)固件內(nèi),該產(chǎn)品被用于聯(lián)想的服務(wù)器產(chǎn)品和技嘉的服務(wù)器主板。

研究人員在 2018 年 7 月報告給了聯(lián)想,11 月聯(lián)想釋出了補(bǔ)??;今年 3 月又在技嘉的主板相同固件內(nèi)發(fā)現(xiàn)了漏洞。

研究人員發(fā)現(xiàn)了兩個問題,其一時固件更新前沒有執(zhí)行加密簽名檢查,因此可被攻擊者安裝惡意固件;其二是 shell 命令注入漏洞。                      

bmc-rd340-command-injection.png

 
 

上一篇:用戶信息泄露事件頻發(fā) 誰在侵犯網(wǎng)民信息安全?

下一篇:2019年07月19日 聚銘安全速遞