IBM两款已老化的旗舰服务器机型将退役,因而它们存在的命令注入漏洞不会得到修补。
据硬件制造商联想称,2019 年退役的两种传统 IBM System x 服务器型号很容易受到攻击,并且不会收到安全补丁。但是,该公司正在提供解决方法缓解。
联想称,2019年退役的两款IBM System x 服务器型号很容易受到网络攻击,但不会对其进行修补,目前在提供解决方案以缓解该问题。
IBM System x 3550 M3和IBM System x 3650 M3这两个型号都容易受到命令注入攻击。该漏洞允许对手通过一个名为集成管理模块(IMM)的脆弱应用程序在任意一个服务器模型的操作系统上执行任意命令。
联想周二发布的一项公告称,IMM用于系统管理功能。System x型号的后面板上,串口和以太网连接器使用IMM进行设备管理。而漏洞存在于IMM固件代码中,可能允许通过经过身份验证的SSH或Telnet会话执行操作系统命令。
SSH或Secure Shell 是一种加密网络通信协议,允许两台计算机进行通信或共享数据。Telnet是另一种网络协议,它允许远程用户登录到同一网络上的另一台计算机。默认情况下,Telnet不会加密通过其连接发送的数据。
该漏洞被追踪为CVE-2021-3723。
2020年6月,在更高版本的IMM(称为 IMM2)中发现了8个漏洞,其中三个是高危漏洞。这些错误与负责实现SSH2协议(称为libssh2)的客户端代码中的缺陷有关。
目前,随着多数企业加强对软件安全的重视,在开发期间会通过静态代码检测工具来查找代码缺陷和漏洞,这在很大程度上提高代码质量,并有效确保软件安全。
System x 3550 M3和System x 3650 M3都是作为中型企业解决方案于2011年4月5日推出的(PDF)。2015年6月30日,联想宣布这两个系统都已停产,但将在未来5年内接受安全更新。
根据联想的安全公告,System x 3550和3650的软件和安全支持截至2019年12月31日。
“从历史上看,在一款产品退出市场营销后,联想至少会提供5年的服务和支持。这将根据联想的自行决定而不另行通知。联想将至少提前90天宣布产品的EOS日期,在大多数情况下,时间会更长。”
周三,联想表示“建议停止使用”这两款服务器,但提供了“缓解策略”。
“如果不能停止使用这些系统,”联想建议:
禁用SSH和Telnet(登录IMM web界面后,可以在导航窗格的安全与网络协议部分进行操作)
初始化配置时,请修改“Administrator”的默认密码
执行强密码
仅将访问权限授予受信任的管理员
联想并未表明是否知晓针对该漏洞的任何活动,但并不代表该安全漏洞不存在潜在危险。
软件安全漏洞可以使网络犯罪分子轻易潜入软件系统,并发起后续攻击,如加密、盗取数据等。多数情况下,安全漏洞由缺陷发展而来,而在软件开发过程中通过静态代码检测可以及时发现并修正缺陷,提高软件自身安全性。更安全的软件意味着将会为企业降低遭到网络攻击风险,同时也能使企业避免因网络攻击而造成的声誉、资产等损失。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
