Serverele echipate cu plăci de bază produse de Supermicro sunt susceptibile la vulnerabilități de securitate cu grad înalt de severitate, care permit hackerilor să instaleze firmware malițios ce se activează chiar înaintea sistemului de operare. Acest lucru face ca infecțiile să fie practic imposibil de detectat sau eliminat fără măsuri de protecție neobișnuite.
Una dintre cele două vulnerabilități identificate recent a apărut ca urmare a unui patch incomplet lansat de Supermicro în ianuarie, conform lui Alex Matrosov, fondator și CEO al firmei de securitate Binarly, care a descoperit această problemă. Patch-ul insuficient a fost destinat să corecteze CVE-2024-10237, o vulnerabilitate de înaltă severitate ce permitea atacatorilor să reîncarce firmware-ul în timpul procesului de bootare a mașinilor. Binarly a descoperit de asemenea o a doua vulnerabilitate critică, care permite același tip de atac.
Aceste vulnerabilități pot fi exploatate pentru a instala firmware similar cu ILObleed, un implant descoperit în 2021 care a infectat serverele HP Enterprise cu firmware de tip wiper, distrugând permanent datele stocate pe hard disk-uri. Chiar și după ce administratorii reinstalau sistemul de operare, schimbau hard disk-urile sau întreprindeau alte măsuri comune de dezinfectare, ILObleed rămânea intact și reactiva atacul de distrugere a datelor. Exploatarea folosită de atacatori fusese corectată de HP cu patru ani în urmă, dar nu fusese instalată pe dispozitivele compromise.
„Ambele probleme oferă o putere de persistență fără precedent în cadrul unei game semnificative de dispozitive Supermicro, inclusiv în centrele de date AI”, a scris Matrosov într-un interviu online pentru Ars. „După ce au corectat vulnerabilitatea anterioară, am examinat restul suprafeței de atac și am găsit probleme de securitate și mai grave.”
Cele două noi vulnerabilități, catalogate ca CVE-2025-7937 și CVE-2025-6198, se găsesc în interiorul silicoanelor sudate pe plăcile de bază Supermicro care funcționează în serverele din centrele de date. Controlerele de management ale plăcii de bază (BMC) permit administratorilor să efectueze la distanță sarcini precum instalarea actualizărilor, monitorizarea temperaturilor hardware și ajustarea vitezelor ventilatoarelor. BMC-urile permite de asemenea unele dintre cele mai sensibile operațiuni, cum ar fi reîncărcarea firmware-ului pentru UEFI (Unified Extensible Firmware Interface), responsabil cu încărcarea sistemului de operare al serverului la pornire. BMC-urile oferă aceste capabilități și altele, chiar și când serverele la care sunt conectate sunt oprite.
Având în vedere puterea lor extraordinară, BMC-urile vin echipate cu protecții menite să verifice semnăturile digitale ale firmware-ului instalat pentru a se asigura că este autorizat de producător și sigur de rulat. Vulnerabilitățile descoperite de Binarly permit hackerilor să înlocuiască imaginile sigure de firmware cu altele malițioase fără a activa mecanismele de detectare și blocare a acestor atacuri.
În astfel de exploatare, atacatorul ar avea nevoie mai întâi să preia controlul asupra BMC-ului. Postările publicate de Binarly anul trecut descriu vulnerabilitățile pe care Matrosov spune că pot fi exploatate în acest scop.