Lanner Electronics 的安全漏洞影响及紧急修补

关键要点

• Lanner Electronics 的 IAC-AST2500 基板管理控制器存在 13 个安全漏洞。
• 这些漏洞可能被利用进行针对操作技术和物联网网络的远程攻击。
• 其中 4 个漏洞在 CVSS 评分系统中被评为 10 分，极高风险。
• 修补版本的固件已由 Lanner 发布，用户应尽快更新。

近期，Nozomi Networks 的研究人员发现 Lanner Electronics 的 IAC-AST2500 基板管理控制器（BMC）的固件受到了
13个安全漏洞的影响。这些漏洞可能被攻击者利用，从而对操作技术和网络发动远程攻击。根据的报道，12 个漏洞影响了 Lanner IAC-AST2500 固件版本
1.10.0，而 CVE-2021-4228 漏洞仅影响版本 1.00.0。值得关注的是，有 4 个漏洞在 CVSS 评分系统中被评为最高分
10，表明其风险极大。

攻击者也可以将一个访问控制漏洞（标记为 CVE-2021-44467）与一个缓冲区溢出漏洞（标记为
CVE-2021-26728）结合使用，从而实现具有根权限的远程代码执行。这一系列漏洞的存在使得设备面临更大的安全风险。为此，Lanner已发布更新的固件来修复这些问题。

研究人员指出：“基板管理控制器为 IT 及 OT/IoT
领域的计算系统提供了便捷的监控与管理方式，无需物理接触。然而，这种便利性也带来了更广的攻击面，如果没有得到充分保护，整体风险可能会增加。”

建议所有使用 Lanner IAC-AST2500 的用户立即更新固件，以确保系统的安全性。