Aktualizacja Supermicro nie powiodła się, pozostawiając serwery otwarte na ataki na poziomie firmware’u

Badacze bezpieczeństwa zidentyfikowali kluczowe luki w płytach głównych Supermicro, umożliwiając hakerom wbudowanie malware, który pozostaje aktywny nawet po ponownym uruchomieniu systemu, a także po jego czyszczeniu.

Kontrolery zarządzania bazą (BMCs) znajdujące się na płytach głównych serwerów zawierają te luki bezpieczeństwa, ponieważ ich maleńkie chipy pozwalają administratorom zdalnie zarządzać maszynami, nawet gdy są wyłączone.

Ten problem, o którym po raz pierwszy poinformował ArsTecnica, dotyczy Supermicro, amerykańskiej firmy produkującej serwery, płyty główne i systemy magazynowania, które zasilają centra danych, chmurę obliczeniową i AI. Jej sprzęt obsługuje obliczenia na dużą skalę dla firm, badaczy i firm technologicznych na całym świecie.

ArsTechnica zauważa, że firma zajmująca się bezpieczeństwem, Binarly odkryła dwie nowe luki w łatce Supermicro z stycznia oznaczonej jako CVE-2024-10237, która nie została w pełni naprawiona. Firma odkryła dodatkowy błąd związany z wcześniej zidentyfikowanym problemem.

Dwa nowe defekty występują jako CVE-2025-7937 i CVE-2025-6198 i wpływają na pamięć firmware, która jest na stałe przyłączona do płyty głównej.

Badacze porównali powagę tych podatności do ataku ILObleed z 2021 roku, który umożliwiał atakującym modyfikację firmware serwera, jednocześnie czyniąc go odpornym na wymazywanie dysku twardego i ponowną instalację systemu operacyjnego. Zagrożenie to badacze określają jako mające „niebywałą trwałość”, jak donosi ArsTechnica.

Jak stwierdziła Alex Matrosov, założycielka i dyrektor generalna Binarly: „Oba problemy zapewniają niezrównane możliwości utrzymania się na znaczących flotach urządzeń Supermicro, w tym [w] centrach danych AI”, informuje ArsTechnica.

Dodała: „Po załataniu [wcześniejszej luki], przyjrzeliśmy się reszcie powierzchni ataku i znaleźliśmy jeszcze gorsze problemy z bezpieczeństwem.”

Główne zagrożenie dla bezpieczeństwa wynika z mechanizmów weryfikacji podpisów BMC, które atakujący mogą wyłączyć, aby zastąpić obrazy firmware’u bez wykrycia. Binarly dostarcza szczegółowych informacji na temat wektora ataku, które pokazują, że atakujący potrzebuje administracyjnego dostępu do BMC, aby wykonać trwałe przeprogramowanie firmware’u.

„Jeżeli potencjalny atakujący już ma dostęp administracyjny do interfejsu sterowania BMC (to jest możliwe poprzez wykorzystanie innych podatności, które opisaliśmy w blogach 1, 2), to wykorzystanie jest trywialne – wystarczy przeprowadzić aktualizację za pomocą złośliwego obrazu. W tym przypadku, atakujący zyskuje na wykorzystaniu CVE-2025-7937/CVE-2025-6198, ponieważ kompromis staje się trwały,” powiedziało Binarly, jak donosi ArsTechnica.

Binarly opisał, jak atakujący mogą zmienić tabelę fwmap, aby zastąpić podpisane regiony. „Ten pojedynczy element będzie zawierał wszystkie podpisane regiony obrazu, jeden po drugim,” napisała firma. Supermicro twierdzi, że wydało aktualizacje BMC, aby zminimalizować te błędy i testuje dotknięte produkty. „Nie możemy znaleźć załatanych aktualizacji firmware na ich stronie internetowej,” powiedział Matrasov, jak donosi ArsTechnica.

„Błąd jest trudny do naprawy. Zakładam, że zajmie im to więcej czasu,” zakończył Matrasov.