Серверы, построенные на материнских платах Supermicro, столкнулись с серией критических уязвимостей, позволяющих удаленно внедрять вредоносное программное обеспечение на уровне прошивки до старта операционной системы. Такая глубина заражения делает стандартные методы защиты неэффективными, а удаление угрозы практически невозможной.
Об этом сообщает издание Ars Technica (AT).Исследовательская организация Binarly, в лице своего основателя Алекса Матросова, выявила две серьезные бреши. Одна из них возникла из-за неполного устранения предыдущей проблемы, идентифицированной как CVE-2024-10237, которую Supermicro пыталась исправить в январе. Изначальная уязвимость давала возможность злоумышленникам изменять прошивку, активную в процессе инициализации системы.
Впоследствии Binarly обнаружила вторую, аналогичную по типу атаки, критическую уязвимость.
Обе бреши открывают путь для установки персистентного вредоносного кода, схожего по деструктивности с ILObleed, который ранее поражал серверы HP Enterprise. ILObleed внедрял очищающую прошивку, безвозвратно уничтожающую данные на дисках даже после переустановки ОС или замены накопителей. Эксплойт, использованный в той кампании, был устранен HP за четыре года до инцидентов, но не был установлен на скомпрометированных устройствах, что привело к большим проблемам в некоторых компаниях.
По словам Матросова, данные уязвимости обеспечивают "беспрецедентную устойчивость" на значительных парках устройств Supermicro, включая инфраструктуру центров обработки данных с искусственным интеллектом (ИИ).
После выпуска январского патча, команда Binarly проанализировала оставшуюся поверхность атаки и обнаружила еще более серьезные проблемы, получившие обозначения CVE-2025-7937 и CVE-2025-6198. Они находятся в кремниевых чипах, интегрированных в материнские платы, управляемых контроллерами BMC (Baseboard Management Controller).
Несмотря на наличие механизмов защиты, проверяющих цифровые подписи прошивки BMC, обнаруженные уязвимости позволяют хакерам подменять легитимные образы вредоносными, минуя системы обнаружения.
Для успешной эксплуатации злоумышленнику необходимо получить контроль над интерфейсом BMC, что может произойти при наличии административного доступа. Также существует риск компрометации через цепочку поставок: если серверы, используемые для хостинга официальных обновлений, будут скомпрометированы, вредоносные образы прошивки могут быть выданы за подлинные обновления.
Свежие комментарии