- Publicité -


Défauts du micrologiciel BMC

Plus d’une douzaine de failles de sécurité ont été découvertes dans le micrologiciel du contrôleur de gestion de la carte mère (BMC) de Lanner, qui pourraient exposer les réseaux de la technologie opérationnelle (OT) et de l’Internet des objets (IoT) à des attaques à distance.

BMC fait référence à un processeur de service spécialisé, un système sur puce (SoC), qui se trouve dans les cartes mères de serveur et est utilisé pour la surveillance et la gestion à distance d’un système hôte, y compris l’exécution d’opérations système de bas niveau telles que micrologiciel clignotant et le contrôle de puissance.

- Publicité -
La cyber-sécurité

Nozomi Networks, qui a analysé une interface de gestion de plateforme intelligente (IPMC) du fournisseur taïwanais Lanner Electronics, a déclaré avoir découvert 13 faiblesses affectant IAC-AST2500.

Tous les problèmes affectent la version 1.10.0 du firmware standard, à l’exception de CVE-2021-4228, qui impacte la version 1.00.0. Quatre des failles (de CVE-2021-26727 à CVE-2021-26730) sont notées 10 sur 10 sur le système de notation CVSS.

Défauts du micrologiciel BMC

En particulier, la société de sécurité industrielle a découvert que CVE-2021-44467, un bogue de contrôle d’accès dans l’interface Web, pouvait être chaîné avec CVE-2021-26728, une faille de débordement de tampon, pour obtenir l’exécution de code à distance sur le BMC avec les privilèges root. .

“Si l’on considère également que tous les processus s’exécutent avec des privilèges root sur l’appareil, les faiblesses combinées permettent à un attaquant non authentifié de compromettre complètement à la fois le BMC et l’hôte géré”, a déclaré la société. a dit dans un article publié la semaine dernière.

Lanner a depuis publié un firmware mis à jour qui corrige les vulnérabilités en question suite à une divulgation responsable.

“Les BMC représentent un moyen attrayant de surveiller et de gérer facilement les systèmes informatiques sans nécessiter d’accès physique, dans le domaine informatique ainsi que dans le domaine OT/IoT”, ont déclaré les chercheurs.

“Néanmoins, leur convivialité se fait au détriment d’une surface d’attaque plus large, ce qui peut entraîner une augmentation du risque global s’ils ne sont pas suffisamment protégés.”



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici