Lenovo: Sicherheitslücken in Server-Enclosure-Firmware
Die Firmware von Lenovos Server-Enclosures hat Sicherheitslecks, die etwa eine Rechteerhöhung ermöglichen. Recovery-Bootloader alter PCs sind auch verwundbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Lenovo warnt aktuell vor Sicherheitslücken in der Firmware von Server-Enclosures. Außerdem betreffen Sicherheitslücken in Bootloadern die Recovery-Partition alter Lenovo-PCs.
Gleich vier Schwachstellen weisen laut Lenovos Sicherheitsmitteilung Server-Enclosures. eine Art von Barebones, aus dem Hause auf. Sie betreffen die System-Management-Module SMM und SMM2 sowie den Fan Power Controller (FPC) der Maschinen. Eine Format-String-Sicherheitslücke ermöglicht authentifizierten Nutzern, beliebige Befehle auf einem bestimmten, nicht genannten API-Endpunkt auszuführen (CVE-2023-4856, CVSS 8.8, Risiko "hoch"). Außerdem können authentifizierte bösartige Nutzer eine Authentifizierung umgehen und bestimmte IPMI-Aufrufe ausführen, die Systeminformationen preisgeben (CVE-2023-4857, CVSS 7.5, hoch).
Lücken in Lenovos System Management Module und Fan Power Controller
Nutzer und Nutzerinnen mit erhöhten Rechten können zudem unbefugt Befehle über IPMI ausführen (CVE-2023-4855, CVSS 7.2, hoch). Weiterhin können Angreifer mit erhöhten Rechten bei bestimmten administrativen Funktionen Systembefehle ausführen (CVE-2024-2659, CVSS 7.2, hoch).
Betroffen sind Produkte aus der "System x"-Baureihe, im Speziellen n1200 Enclosure (NeXtScale) sowie n1200 water-cooled Enclosure (NeXtScale) und aus der "ThinkAgile"-Reihe die Modelle CP-CB-10 und CP-CB-10E, HX Enclosure Certified Node (ThinkAgile) sowie VX Enclosure (ThinkAgile). Zudem weisen aus der "ThinkSystem"-Baureihe D2 Enclosure, DA240 Enclosure und DW612 Enclosure die Sicherheitslecks auf. Die Software für die Fan Power Controller ist ab Version FHET62A-3.50 fehlerbereinigt, für die Lenovo System Management Module Firmware v1.24 steht Fassung TESM40B-1.27 oder neuer bereit. Zudem korrigiert für die Lenovo System Management Module 2 Firmware v1.05 der Softwarestand UMSM12I-1.1.3 oder neuer die Lücken. Sie lassen sich unter "Drivers & Software" nach Eingabe des Produkts in der Suche auf der Lenovo-Support-Webseite herunterladen.
Sicherheitslücken in alten Lenovo-PCs
Außerdem finden sich zwei Sicherheitslücken in den Bootloadern der System-Recovery-Partition von Lenovo-PCs, die mit Windows 7 und Windows 8 zwischen 2012 und 2014 ausgeliefert wurden. Diese Geräte erhalten keinen Support mehr, allerdings können Angreifer mit lokalem Zugriff den Boot-Manager manipulieren und so ihre Rechte ausweiten (CVE-2024-23593, CVSS 6.7, mittel) oder einen Pufferüberlauf provozieren und beliebigen Code ausführen (CVE-2024-23594, CVSS 6.4, mittel). Glück im Unglück: Zwar erhalten die Geräte von Lenovo keine Unterstützung mehr, aber Microsoft hat korrigierte Bootloader am April-Patchday veröffentlicht.
Lenovo hatte bereits Mitte Januar aktualisierte BIOS-Versionen verteilt. Sie haben Sicherheitslücken im AMI-MegaRAC-SPX-BIOS abgedichtet.
(dmk)