TekCrispyTekCrispy
  • Ciencia
    • Historia
    • Perfiles
  • Tecnología
    • Software
    • Móviles
    • Herramientas Web
    • Redes Sociales
  • Cultura Digital
    • Cine y TV
    • Videojuegos
  • Análisis
Selección del Editor

¿Las avispas bebés son caníbales? Estudio revela lo que cuesta sobrevivir en la naturaleza

May 18, 2022

Twitter está probando la pestaña Spaces en Android

May 18, 2022

Obstetras necesitan más entrenamiento para tratar a las mujeres embarazadas con riesgo cardiovascular

May 18, 2022

Escasez de leche de fórmula se está convirtiendo en un problema para las familias de bajos recursos

May 18, 2022
Facebook Twitter Instagram TikTok Telegrama
TekCrispyTekCrispy
  • Ciencia

    ¿Las avispas bebés son caníbales? Estudio revela lo que cuesta sobrevivir en la naturaleza

    May 18, 2022

    Obstetras necesitan más entrenamiento para tratar a las mujeres embarazadas con riesgo cardiovascular

    May 18, 2022

    Escasez de leche de fórmula se está convirtiendo en un problema para las familias de bajos recursos

    May 18, 2022

    ¿Qué es la viruela del mono y cómo se contagia entre humanos?

    May 18, 2022

    El módulo InSight de la NASA podría desaparecer entre el polvo de Marte

    May 18, 2022
  • Tecnología

    Twitter está probando la pestaña Spaces en Android

    May 18, 2022

    TikTok acaba de lanzar una herramienta de acreditación para creadores

    May 18, 2022

    Los liveness tests usados por los bancos son vulnerables a los ataques de deepfake

    May 18, 2022

    Así funciona internamente el grupo de piratas informáticos de Wizard Spider

    May 18, 2022

    YouTube le permitirá a sus creadores ser coanfitriones de transmisiones en vivo de compras

    May 18, 2022
  • Cultura Digital

    “The Mandalorian” y “Avatar 2”: la tecnología en el cine que solo busca conmovernos

    May 15, 2022

    ¿Cómo ganar vistas en YouTube en 2022?

    May 6, 2022

    Netflix implementa un impuesto de culpabilidad para quienes comparten contraseñas

    Mar 17, 2022

    Declarando, la gestoría 100% online que está revolucionando el sector

    Mar 11, 2022

    Científicos cuentan cómo los juegos de carreras desarrollan a los niños

    Mar 1, 2022
Facebook Twitter Instagram TikTok
TekCrispyTekCrispy
Empresas

Más de 47.000 servidores Supermicro están expuestos a la vulnerabilidad USBAnywhere

Por Rosselyn BarroyetaSep 3, 20193 minutos de lectura
Compartir
Facebook Twitter Email Telegrama WhatsApp

Una nueva investigación revela que más de 47,000 servidores Supermicro se encuentran expuestos a una vulnerabilidad llamada USBAnywhere que afecta el firmware del controlador de administración de la placa base (BMC).

Los BMC son componentes que forman parte del estándar conocido como Interfaz inteligente de administración de plataforma (IPMI), el cual le permite a los administradores de sistema ejecutar acciones remotas sin importar el sistema operativo.

USBAnywhere

Los investigadores de seguridad de Eclypsium han revelado que esta vulnerabilidad bautizada como USBAnywhere ha afectado a más de 47.000 servidores Supermicro.

A través de su blog Eclypsium informa que:

USBAnywhere permite que un atacante se conecte fácilmente a un servidor y monte virtualmente cualquier dispositivo USB de su elección en el servidor, de forma remota a través de cualquier red, incluida Internet.

Esto se debe a que USBAnywhere afecta la función de USB virtual del firmware BMC mostrándole a los administradores un USB virtual conectado a un sistema administrado de forma remota al conectar un USB a su computadora permitiendo transferir datos desde su máquina a uno virtual.

Más de 47.000 equipos infectados

De acuerdo con la fuente, este problema que afecta a más de 47.000 equipos de las plataformas Supermicro X9, X10 y X11 tiene que ver con la forma en que los BMC implementan medios virtuales.

Según los expertos, el acceso al servicio de medios virtuales en estos dispositivos se realiza a través de una pequeña aplicación Java que se conecta al servicio de medios virtuales de la interfaz web de BMC.

Cuatro vulnerabilidades

La falla se origina en el servicio que utiliza un formato personalizado basado en paquetes para autenticar al cliente, ya que esta app de Java permite autenticar el texto sin formato, pues a pesar de solicitar una ID de sesión única para la autenticación también permite utilizar un nombre de usuario y una contraseña de texto sin formato.

Otra de las fallas es, el envío de paquetes sin cifrar, y es que aunque al inicio pide una autenticación luego “usa paquetes no cifrados para el resto del tráfico”.

RCA y otras fallas a nivel interno

Además de ello, implementa un algoritmo de cifrado débil,
ya que al cifrar un dato este lo hace con el sistema de cifrado RC4, un formato que contiene múltiples debilidades criptográficas y cuyo uso ha sido prohibido.

Finalmente, la cuarta falla viene representada por el Bypass de autenticación –solo plataformas X10 y X11– ya que permite que el nuevo cliente o hacker herede la autorización del cliente anterior a través del socket del cliente.

Un nuevo parche

Vulnerabilidades que le dejan el camino a los hackers el acceso al sistema de forma fácil ya sea capturando el paquete de autenticación, a través de credenciales predeterminadas o hasta sin credencial alguna.

Pero no debemos alarmarnos ya que los investigadores señalan que Supermicro ya ha lanzado parches de seguridad que se encuentran disponibles desde su página web para las placas Supermicro X9, X10 y X11.

BMC Firmware Supermicro USBAnywhere

Artículos Relacionados

Descubre estos 15 códigos secretos de seguridad de Android

¿Cómo actualizar el firmware de un router TP-Link?

Samsung Galaxy S20 actualiza firmware para reparar fallo de enfoque

Añadir un comentario

Dejar una respuesta Cancelar respuesta

Selección del Editor

Estas son las imágenes del primer eclipse lunar de 2022

May 16, 2022

Madre alega que un desafío de TikTok llevó a su hija a la muerte

May 16, 2022

¿Los videojuegos aumentan la inteligencia de los niños?

May 16, 2022

Shirley Ann Jackson, inventora del identificador de llamadas

May 7, 2022
Síguenos en las redes
  • Facebook
  • Twitter
  • Instagram
  • TikTok
Facebook Twitter Instagram LinkedIn TikTok
  • Publicidad
  • Contacto
  • Política de Privacidad
  • Acerca de TekCrispy
© 2022 CRISPYMEDIA LLC. DERECHOS RESERVADOS.

Escriba arriba y pulse Enter para buscar. Pulse Esc para cancelar.