zurück zum Artikel

Die Firmware von Lenovos Server-Enclosures hat Sicherheitslecks, die etwa eine Rechteerhöhung ermöglichen. Recovery-Bootloader alter PCs sind auch verwundbar.

Lenovo [1] warnt aktuell vor Sicherheitslücken in der Firmware von Server-Enclosures. Außerdem betreffen Sicherheitslücken in Bootloadern die Recovery-Partition alter Lenovo-PCs.

Gleich vier Schwachstellen weisen laut Lenovos Sicherheitsmitteilung [2] Server-Enclosures. eine Art von Barebones, aus dem Hause auf. Sie betreffen die System-Management-Module SMM und SMM2 sowie den Fan Power Controller (FPC) der Maschinen. Eine Format-String-Sicherheitslücke ermöglicht authentifizierten Nutzern, beliebige Befehle auf einem bestimmten, nicht genannten API-Endpunkt auszuführen (CVE-2023-4856, CVSS 8.8, Risiko "hoch"). Außerdem können authentifizierte bösartige Nutzer eine Authentifizierung umgehen und bestimmte IPMI-Aufrufe ausführen, die Systeminformationen preisgeben (CVE-2023-4857, CVSS 7.5, hoch).

Lücken in Lenovos System Management Module und Fan Power Controller

Nutzer und Nutzerinnen mit erhöhten Rechten können zudem unbefugt Befehle über IPMI ausführen (CVE-2023-4855, CVSS 7.2, hoch). Weiterhin können Angreifer mit erhöhten Rechten bei bestimmten administrativen Funktionen Systembefehle ausführen (CVE-2024-2659, CVSS 7.2, hoch).

Betroffen sind Produkte aus der "System x"-Baureihe, im Speziellen n1200 Enclosure (NeXtScale) sowie n1200 water-cooled Enclosure (NeXtScale) und aus der "ThinkAgile"-Reihe die Modelle CP-CB-10 und CP-CB-10E, HX Enclosure Certified Node (ThinkAgile) sowie VX Enclosure (ThinkAgile). Zudem weisen aus der "ThinkSystem"-Baureihe D2 Enclosure, DA240 Enclosure und DW612 Enclosure die Sicherheitslecks auf. Die Software für die Fan Power Controller ist ab Version FHET62A-3.50 fehlerbereinigt, für die Lenovo System Management Module Firmware v1.24 steht Fassung TESM40B-1.27 oder neuer bereit. Zudem korrigiert für die Lenovo System Management Module 2 Firmware v1.05 der Softwarestand UMSM12I-1.1.3 oder neuer die Lücken. Sie lassen sich unter "Drivers & Software" nach Eingabe des Produkts in der Suche auf der Lenovo-Support-Webseite [3] herunterladen.

Sicherheitslücken in alten Lenovo-PCs

Außerdem finden sich zwei Sicherheitslücken in den Bootloadern der System-Recovery-Partition von Lenovo-PCs [4], die mit Windows 7 und Windows 8 zwischen 2012 und 2014 ausgeliefert wurden. Diese Geräte erhalten keinen Support mehr, allerdings können Angreifer mit lokalem Zugriff den Boot-Manager manipulieren und so ihre Rechte ausweiten (CVE-2024-23593 [5], CVSS 6.7, mittel) oder einen Pufferüberlauf provozieren und beliebigen Code ausführen (CVE-2024-23594 [6], CVSS 6.4, mittel). Glück im Unglück: Zwar erhalten die Geräte von Lenovo keine Unterstützung mehr, aber Microsoft hat korrigierte Bootloader am April-Patchday [7] veröffentlicht.

Lenovo hatte bereits Mitte Januar aktualisierte BIOS [8]-Versionen verteilt. Sie haben Sicherheitslücken im AMI-MegaRAC-SPX-BIOS abgedichtet.

(dmk [9])

URL dieses Artikels:
https://www.heise.de/-9686547

Links in diesem Artikel:
[1] https://www.heise.de/thema/Lenovo
[2] https://support.lenovo.com/us/en/product_security/LEN-140420
[3] https://pcsupport.lenovo.com/us/en/
[4] https://support.lenovo.com/us/en/product_security/LEN-132277
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-23593
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-23594
[7] https://www.heise.de/news/Patchday-Angreifer-umgehen-erneut-Sicherheitsfunktion-und-attackieren-Windows-9679989.html
[8] https://www.heise.de/news/BIOS-Sicherheitsupdates-von-Dell-und-Lenovo-9594096.html
[9] mailto:dmk@heise.de

Copyright © 2024 Heise Medien