Hakerzy mogą zainfekować płyty główne serwerów Supermicro nieusuwalnymi wirusami poprzez luki w kontrolerach BMC

Bezpieczeństwo serwerów to podstawa stabilności cyfrowego świata. Administratorzy skupiają się na ochronie systemów operacyjnych i aplikacji, często ufając, że warstwa sprzętowa jest bezpieczna. Zagrożenia ewoluują i potrafią ukryć się znacznie głębiej, niż wydaje się to możliwe. Czasem najpoważniejsze niebezpieczeństwo nie czai się w oprogramowaniu, które widzimy, lecz w firmware, które nim zarządza. Atak na tym poziomie może pozostać niewykryty przez lata.

Nowo odkryte luki w płytach głównych Supermicro pozwalają na instalację złośliwego oprogramowania, którego usunięcie jest niemożliwe przy użyciu standardowych metod.

Ta podatność mogła zniszczyć cały Microsoft Azure. Jeden token wystarczył do przejęcia kontroli nad wszystkimi kontami firm

Eksperci z firmy Binarly ujawnili dwie niebezpieczne luki w kontrolerach BMC płyt głównych Supermicro. Podatności CVE-2025-7937 i CVE-2025-6198 pozwalają atakującym na instalację złośliwego firmware, który pozostaje nieusuwualny nawet po kompletnym wymazaniu dysków twardych. Luki dotyczą mechanizmu walidacji aktualizacji firmware, który można obejść poprzez modyfikację obrazu systemu. Baseboard Management Controller to specjalistyczny chip odpowiadający za zarządzanie serwerem niezależnie od głównego systemu operacyjnego. BMC umożliwia zdalną kontrolę nawet gdy serwer jest wyłączony lub zawiesił się. Ta funkcjonalność sprawia, że jest on krytycznym elementem infrastruktury, ale jednocześnie atrakcyjnym celem dla cyberprzestępców.

Cisco Talos ujawnia krytyczne luki w firmware laptopów Dell Latitude i Precision umożliwiających instalację trwałego malware

Pierwsza z odkrytych luk stanowi efekt obejścia poprawki dla wcześniejszej podatności CVE-2024-10237, którą Supermicro naprawiło w styczniu. Badacze z Binarly udowodnili, że ich pierwotna łatka była niewystarczająca. Atakujący mogą wprowadzić własną tablicę fwmap przed oryginalną, co pozwala na przearanżowanie podpisanych regionów w firmware i wstrzyknięcie złośliwych obszarów bez naruszenia sprawdzania podpisu cyfrowego. Druga podatność CVE-2025-6198 wykorzystuje podobną technikę, ale stosuje różne implementacje logiki walidacyjnej w różnych produktach Supermicro. Binarly potwierdził, że firma używa kilku odmiennych mechanizmów weryfikacji firmware w swoich urządzeniach, co zwiększa możliwości ataku. Niektóre płyty główne mają stałe regiony do obliczania skrótu, podczas gdy inne polegają na dynamicznych tablicach, które można zmanipulować.

FBI i CISA ostrzegają. Hakerzy z grupy Static Tundra wykorzystują luki w routerach Cisco do ataków na infrastrukturę krytyczną

Problem nabiera szczególnej wagi w kontekście niedawnego dodania podatności AMI BMC (CVE-2024-54085) do katalogu Known Exploited Vulnerabilities agencji CISA. To pierwszy przypadek umieszczenia luki w kontrolerze BMC na tej liście, co podkreśla rosnące zainteresowanie cyberprzestępców tego typu atakami. Binarly przeprowadził skanowanie własnej bazy danych firmware i zidentyfikował setki różnych produktów Supermicro podatnych na te luki. Supermicro wydał już poprawki dla obydwu podatności. Firma wprowadzi dodatkowe funkcje walidacyjne sprawdzające czy wszystkie wpisy fwmap mają dozwolone zakodowane na stałe offsety, a także czy tylko wymagane wpisy mają flagę is_signed. Jednak badacze z Binarly ostrzegają, że te aktualizacje mogą nie wystarczyć do zapobieżenia wszystkim możliwym sposobom obejścia.