Servidores IBM System X legados não têm patch para bug

Dois dos modelos mais antigos de servidores da IBM, aposentados em 2020, não serão corrigidos por uma falha de injeção de comando
Da Redação
15/09/2021

Dois modelos de servidores IBM System X legados, aposentados em 2019, estão vulneráveis a ataques e não receberão patches de segurança, de acordo com o fabricante de hardware Lenovo. No entanto, a empresa está oferecendo uma solução alternativa.

Os dois modelos, IBM System X 3550 M3 e IBM System X 3650 M3, são vulneráveis ​​a ataques de injeção de comando. O bug permite que um cibercriminoso execute comandos arbitrários em qualquer sistema operacional dos servidores por meio de um aplicativo vulnerável chamado Módulo de Gerenciamento Integrado (IMM).

O IMM é usado para funções de gerenciamento de sistemas. No painel traseiro dos modelos System x, os conectores seriais e Ethernet usam o IMM para gerenciamento de dispositivo. A falha, de acordo com um comunicado da Lenovo publicado na terça-feira, 14, está no código de firmware do IMM e “pode permitir a execução de comandos do sistema operacional em uma sessão de SSH ou Telnet autenticada”.

O SSH ou Secure Shell é um protocolo de comunicação de rede criptográfica que permite que dois computadores se comuniquem ou compartilhem dados. Telnet é outro protocolo de rede que permite que usuários remotos façam login em outro computador na mesma rede. O Telnet, por padrão, não criptografa os dados enviados por meio de sua conexão.

O bug, rastreado como CVE-2021-3723, foi divulgado nesta quarta-feira, 15, e a descoberta é atribuída ao caçador de bugs Denver Abrey, segundo o site Threat Post.

Oito vulnerabilidades em uma versão posterior do IMM — chamada IMM2 — foram identificadas em junho do ano passado, três de alta gravidade. Esses bugs estavam ligados a falhas no código do lado do cliente responsável por implementar o protocolo SSH2, chamado libssh2.

Tanto o System X 3550 M3 quanto o System X 3650 M3 foram lançados em 5 de abril de 2011 como soluções para empresas de médio porte. Em 30 de junho de 2015, a Lenovo anunciou que os sistemas foram descontinuados, mas receberiam atualizações de segurança por mais cinco anos.

Veja isso
IBM diz que processador previne fraude em tempo real
Lenovo alerta sobre travamento de laptops causado pelo Windows 10

De acordo com o boletim de segurança da Lenovo, o suporte de software e segurança para System X 3550 e 3650 terminou em 31 de dezembro de 2019.

“Historicamente, a Lenovo fornece serviço e suporte por ao menos cinco anos após a retirada de um produto do mercado. Isso está sujeito a alterações a critério exclusivo da Lenovo sem aviso prévio. A Lenovo anunciará a data de EOS de um produto pelo menos 90 dias antes da data de EOS real e, na maioria dos casos, mais tempo”, escreveu a Lenovo.

A Lenovo recomenda a descontinuação do uso de ambos os servidores, mas ofereceu uma “estratégia de mitigação”. “Se não for viável interromper o uso desses sistemas”, adote os seguintes passos:

  • Desative SSH e Telnet (isso pode ser feito nas seções Segurança e Protocolo de Rede da área de janela de navegação após efetuar login na interface da web do IMM)
  • Alterar a senha padrão do administrador durante a configuração inicial
  • Aplicar senhas fortes
  • Conceda acesso apenas a administradores confiáveis

A Lenovo não disse se estava ciente de quaisquer campanhas ativas visando a vulnerabilidade.

Compartilhar:

Últimas Notícias