Lenovo warnt vor Firmware-Sicherheitslücken in Server-Enclosures und Bootloadern älterer PCs
Lenovo warnt derzeit vor Sicherheitslücken in der Firmware von Server-Enclosures und den Bootloadern älterer Lenovo-PCs. Das Unternehmen hat eine Sicherheitsmitteilung veröffentlicht, in der auf insgesamt vier Schwachstellen hingewiesen wird.
Die betroffenen Server-Enclosures weisen Schwachstellen in den System-Management-Modulen SMM und SMM2 sowie im Fan Power Controller (FPC) auf. Eine dieser Schwachstellen ermöglicht es authentifizierten Benutzern, beliebige Befehle auf einem nicht näher benannten API-Endpunkt auszuführen. Dies stellt ein erhebliches Risiko dar. Darüber hinaus können bösartige Benutzer die Authentifizierung umgehen und bestimmte Systeminformationen preisgeben. Benutzer mit erhöhten Rechten können auch unbefugt Befehle über das IPMI-Protokoll ausführen. Des Weiteren können Angreifer mit erhöhten Rechten bei bestimmten administrativen Funktionen Systembefehle ausführen.
Von den Sicherheitslücken betroffen sind verschiedene Produkte, darunter das n1200 Enclosure (NeXtScale), das n1200 water-cooled Enclosure (NeXtScale) und Modelle der ThinkAgile-Reihe wie CP-CB-10 und CP-CB-10E, HX Enclosure Certified Node (ThinkAgile) und VX Enclosure (ThinkAgile). Auch Produkte der ThinkSystem-Serie wie das D2 Enclosure, das DA240 Enclosure und das DW612 Enclosure sind betroffen.
Lenovo hat Firmware-Updates veröffentlicht, um die Sicherheitslücken zu schließen. Die betroffenen Produkte erfordern unterschiedliche Versionen der aktualisierten Firmware. Für den Fan Power Controller wird die Version FHET62A-3.50 oder höher empfohlen. Für die Lenovo System Management Module wird die Version TESM40B-1.27 oder höher empfohlen. Für die Lenovo System Management Module 2 wird die Version UMSM12I-1.1.3 oder höher empfohlen. Die erforderlichen Software-Updates können auf der Lenovo-Support-Website in der Kategorie „Treiber & Software“ heruntergeladen werden. Dafür muss das entsprechende Produkt im Suchfeld eingegeben werden.
Neben den Sicherheitslücken in der Firmware haben Lenovo und Microsoft auch vor zwei Sicherheitslücken in den Bootloadern älterer Lenovo-PCs gewarnt. Diese betreffen Lenovo-PCs, die zwischen 2012 und 2014 mit Windows 7 und Windows 8 ausgeliefert wurden. Angreifer mit physischem Zugriff könnten den Boot-Manager manipulieren und dadurch ihre Berechtigungen erweitern. Zudem könnten sie einen Pufferüberlauf auslösen und beliebigen Code ausführen. Glücklicherweise hat Microsoft bereits korrigierte Bootloader veröffentlicht.
Schlagwörter: CVSS + Lenovo + ThinkAgile
Wie bewerten Sie den Schreibstil des Artikels?