Из-за неудаляемых вирусов на уровне прошивки материнские платы Supermicro оказались серьёзно уязвимы
Изображение: Alexandre Debiève (unsplash)
Исследователи из Binarly зафиксировали критические уязвимости в материнских платах Supermicro, которые позволяют злоумышленникам внедрять вредоносное ПО на этапе, предшествующем запуску операционной системы. Такой способ атаки делает невозможным устранение угрозы стандартными средствами: перезапись ОС, замена дисков и даже обновление BIOS не дают результата. Об этом сообщает издание Ars Technica, ссылаясь на основателя Binarly Алекса Матросова.
В центре внимания оказались уязвимости в программной логике, связанной с контроллером управления серверной платой — Baseboard Management Controller (BMC). Первая из брешей связана с недоработанным устранением CVE-2024-10237, которую Supermicro пыталась закрыть в январе. Однако, как выяснилось позже, патч не решил проблему полностью. В результате появилась возможность незаметной модификации прошивки, активной на ранних этапах загрузки.
Специалисты Binarly обнаружили ещё два уязвимых участка, получивших обозначения CVE-2025-7937 и CVE-2025-6198.
Они затрагивают микроконтроллеры, встроенные в кремниевую архитектуру материнских плат, и позволяют обойти даже те механизмы защиты, которые предназначены для проверки цифровой подписи прошивки. Это означает, что даже формально «легитимный» образ может быть заражён и пройти верификацию без подозрений со стороны встроенной системы.
По словам Алекса Матросова, такая модель атаки создаёт «устойчивый плацдарм» внутри корпоративной и облачной инфраструктуры, включая центры обработки данных, задействованные в задачах искусственного интеллекта. Масштаб угрозы особенно критичен для крупных кластеров, где потенциальная компрометация одного элемента может привести к каскадным сбоям и утечке конфиденциальной информации.
Наибольшую тревогу вызывает возможность атаки через цепочку поставок. Если злоумышленникам удастся получить доступ к серверам, с которых распространяются официальные обновления прошивки, вредоносный образ может быть замаскирован под оригинальный. В этом случае заражение произойдёт при установке «официального» обновления.
Эксперты также сравнивают ситуацию с атаками ILObleed, ранее поразившими серверы Hewlett Packard Enterprise. Тогда вирус внедрялся в контроллер управления и приводил к безвозвратному удалению всех данных на накопителях. Хотя уязвимость была устранена задолго до инцидентов, многие серверы не получили обновлений, что привело к катастрофическим последствиям для бизнеса.
Для эксплуатации описанных уязвимостей в Supermicro требуется административный доступ к интерфейсу BMC. Однако в условиях слабого контроля за безопасностью на уровне инфраструктуры или при уже существующем проникновении в систему эта стадия может быть легко достигнута.
