Angreifer könnten zwei Sicherheitslücken in Hyperscale-Systemen von Lenovo ausnutzen und Schadcode ausführen.
Kommen in Cloud-Datenzentren Hyperscale-Systeme der ThinkSystem-Serie von Lenovo zum Einsatz, sollten Admins die Systeme aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen.
Die beiden Schwachstellen (CVE-2023-34329 „kritisch“, CVE-2023-34330 „hoch“) betreffen die Baseboard Management Controller (BMC) MegaRAC SP-X von AMI. Durch das Spoofen des HTTP-Headers kann ein Angreifer die Authentifizierung umgehen. Setzt er erfolgreich an der zweiten Schwachstelle an, kann über das Dynamic-Redfish-Interface Schadcode auf Systeme gelangen.
Wie aus einer Warnmeldung von Lenovo hervorgeht, sind davon konkret die folgenden Hyperscale-Systeme betroffen:
- ThinkSystem HR610X – abgesicherte Software 15.40
- ThinkSystem HR630X/HR650X – abgesicherte Software 11.53
- ThinkSystem HR630X_V2 – abgesicherte Software 1.52