Не удалось установить патч Supermicro, что оставило серверы уязвимыми для атак на уровне прошивки

Исследователи в области безопасности выявили критические уязвимости в материнских платах Supermicro, позволяющие хакерам внедрять вредоносное ПО, которое остается активным даже после перезагрузки системы, а также очистки системы.

Контроллеры управления базовым блоком (BMC) расположенные на материнских платах серверов, содержат эти недостатки в безопасности, поскольку их микросхемы позволяют администраторам управлять машинами удаленно, даже когда они выключены.

Этот вопрос, впервые поднятый ArsTecnica, касается Supermicro, американской компании, которая производит серверы, материнские платы и системы хранения данных для дата-центров, облачных вычислений и ИИ. Ее оборудование поддерживает масштабные вычисления для бизнеса, исследователей и технологических компаний по всему миру.

ArsTechnica отмечает, что компания по безопасности Binarly обнаружила две новые уязвимости в патче Supermicro от января CVE-2024-10237, который оставил незавершенный исправление. Компания обнаружила дополнительный проблему безопасности, которая связана с ранее выявленной проблемой.

Два новых дефекта существуют как CVE-2025-7937 и CVE-2025-6198, и они влияют на хранилище прошивки, которое постоянно присоединено к материнской плате.

Исследователи сравнили серьезность этих уязвимостей с атакой 2021 года ILObleed, которая позволила злоумышленникам изменять прошивку сервера, а также сделать ее устойчивой к полному форматированию жесткого диска и переустановке операционной системы. Исследователи определяют эту угрозу как обладающую «беспрецедентной стойкостью», как сообщает ArsTechnica.

Как выразился Алекс Матросов, основатель и генеральный директор Binarly: «Обе проблемы обеспечивают беспрецедентную устойчивость в значительном количестве устройств Supermicro, включая [в] центры обработки данных AI», — сообщает ArsTechnica.

Он добавил: «После того, как они устранили [ранее обнаруженную уязвимость], мы решили изучить остальную часть атакующей поверхности и обнаружили еще более серьезные проблемы с безопасностью».

Основная угроза безопасности возникает из-за механизмов проверки подписи BMC, которые злоумышленники могут отключить, чтобы заменить образы прошивки без обнаружения. Binarly предоставляет подробную информацию о векторе атаки, которая показывает, что злоумышленнику требуется административный доступ к BMC для выполнения постоянного перепрошивания прошивки.

«Если потенциальный злоумышленник уже имеет административный доступ к интерфейсу управления BMC (это возможно за счет эксплуатации других уязвимостей, о которых мы описывали в блогах 1, 2), то эксплуатация тривиальна — нам просто нужно выполнить обновление с вредоносным образом. В этом случае злоумышленник получает выгоду от эксплуатации CVE-2025-7937/CVE-2025-6198, поскольку компрометация становится постоянной», — сказала Binarly, как сообщает ArsTechnica.

Binarly описала, как злоумышленники могут изменить таблицу fwmap таким образом, чтобы подписанные регионы были заменены. «Этот единственный элемент будет содержать все подписанные регионы изображения, один за другим», — написала компания. Supermicro сообщает, что выпустила обновления BMC для устранения уязвимостей и тестирует затронутые продукты. «Мы не можем найти обновления исправленной прошивки на их веб-сайте», — сказал Матрасов, как сообщает ArsTechnica.

«Исправить эту ошибку сложно. Я предполагаю, что это займет у них больше времени», — заключил Матрасов.