Management-Controller Lenovo XCC: Angreifer können Passwörter manipulieren
Der Computerhersteller Lenovo hat in XClarity Controller mehrere Sicherheitslücken geschlossen.
Admins, die Server mit XClarity Controller (XCC) von Lenovo verwalten, sollten den Management-Controller aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an verschiedenen Schwachstellen ansetzen und unter anderem Zugriffsrechte von Nutzern verändern.
Die Schwachstellen
In einer Warnmeldung führen die XCC-Entwickler drei Sicherheitslücken (CVE-2023-4606, CVE-2023-4607, CVE-2023-4608) auf. Die Einstufung des Bedrohungsgrads steht offensichtlich noch aus.
Für alle Attacken müssen Angreifer bereits authentifiziert sein. Ist das gegeben, können sie unter anderem mit speziellen API-Kommandos Passwörter verändern oder via SQL Injection eigene Befehle ausführen. Letzteres soll ausschließlich ThinkSystem-v2- und -v3-Server bedrohen.
Jetzt patchen!
Die betroffenen Systeme und die gegen die Attacken abgesicherten XCC-Ausgaben listet Lenovo in der Warnmeldung auf.
(des)