Vulnerabilidad en Dell iDRAC8 IPMI Session (CVE-2024-3411)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-331
Entropía insuficiente
Fecha de publicación:
30/04/2024
Última modificación:
04/11/2025
Descripción
Las implementaciones de sesiones autenticadas de IPMI no proporcionan suficiente aleatoriedad para proteger contra el secuestro de sesiones, lo que permite a un atacante utilizar un ID de sesión de IPMI predecible o un número aleatorio de BMC débil para eludir los controles de seguridad utilizando paquetes IPMI falsificados para administrar el dispositivo BMC.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://kb.cert.org/vuls/id/163057
- https://www.dell.com/support/kbdoc/en-US/000226504/dsa-2024-295-security-update-for-dell-idrac8-ipmi-session-vulnerability
- https://www.intel.la/content/dam/www/public/us/en/documents/specification-updates/ipmi-intelligent-platform-mgt-interface-spec-2nd-gen-v2-0-spec-update.pdf
- https://kb.cert.org/vuls/id/163057
- https://www.dell.com/support/kbdoc/en-US/000226504/dsa-2024-295-security-update-for-dell-idrac8-ipmi-session-vulnerability
- https://www.intel.la/content/dam/www/public/us/en/documents/specification-updates/ipmi-intelligent-platform-mgt-interface-spec-2nd-gen-v2-0-spec-update.pdf
- https://www.kb.cert.org/vuls/id/163057