网络安全研究人员披露了两个影响超微服务器基板管理控制器(BMC)固件的安全漏洞细节,这些漏洞可能使攻击者能够绕过关键的验证步骤,并用特制的镜像更新系统。
以下列出的是这两个中危漏洞,它们均源于对加密签名的验证不当——
- CVE-2025-7937(CVSS评分:6.6)——特制的固件镜像可绕过Supermicro BMC固件的可信根(RoT)1.0验证逻辑,通过将程序重定向至未签名区域中的伪造“fwmap”表来更新系统固件。
- CVE-2025-6198(CVSS评分:6.4)——特制的固件镜像可通过将程序重定向至未签名区域中的伪造签名表(“sig_table”),绕过超微BMC固件的签名表验证逻辑,从而更新系统固件。
固件更新过程中执行的图像验证流程分为三个步骤:从BMC SPI闪存芯片中检索公钥,处理上传图像中嵌入的“fwmap”或“sig_table”表,计算所有“已签名”固件区域的加密哈希摘要,并根据计算出的哈希摘要验证签名值。
固件安全公司Binarly发现并报告了这两个缺陷,该公司表示,CVE-2025-7937是对CVE-2024-10237的绕过,后者由超微公司于2025年1月披露。该漏洞最初由英伟达发现,同时被发现的还有CVE-2024-10238和CVE-2024-10239。
Binarly研究员安东·伊万诺夫在与《黑客新闻》分享的一份报告中表示:“CVE-2024-10237是‘上传固件验证过程中的一个逻辑漏洞,最终可能导致BMC SPI芯片被重写为恶意镜像’。‘这个安全问题可能使潜在攻击者获得对BMC系统和主服务器操作系统的完全且持久的控制权。’”
“这一漏洞表明,通过向‘fwmap’表添加自定义条目,并将镜像的原始签名内容移至未保留的固件空间,可操纵验证过程,而这会确保计算出的摘要仍与签名值匹配。”
另一方面,CVE-2024-10238和CVE-2024-10239是固件图像验证功能中的两个栈溢出漏洞,这使得攻击者能够在BMC环境中执行任意代码。
Binarly的分析发现,针对CVE-2024-10237的修复措施并不充分,他们识别出了一条潜在的攻击路径,即可以在原始的“fwmap”表之前插入一个自定义的“fwmap”表,而该自定义表会在验证过程中被使用。这实际上使威胁攻击者能够在BMC系统的环境中运行自定义代码。
对X13SEM-F主板中固件验证逻辑的实施情况进行进一步调查后发现,“auth_bmc_sig”函数存在一个漏洞,该漏洞可能允许攻击者在不修改哈希摘要值的情况下加载恶意镜像。
“再一次,由于用于摘要计算的所有区域都在上传的镜像本身(在‘sig_table’中)定义,因此可以对其以及镜像的其他一些部分(例如内核)进行修改,并将原始数据移至固件中的未使用空间,”伊万诺夫说。“这意味着签名数据摘要仍将与原始值匹配。”
成功利用CVE-2025-6198不仅可以用特制镜像更新BMC系统,还能绕过BMC的RoT安全功能。
“此前,我们报告了在超微设备上发现测试密钥的情况,而他们的产品安全事件响应团队(PSIRT)进一步确认,硬件信任根(RoT)会对该密钥进行认证,且这一发现不会产生影响,”Binarly的首席执行官兼研究主管亚历克斯·马特罗索夫告诉《黑客新闻》。
“然而,新的研究表明,Supermicro之前的声明并不准确,CVE-2025-6198绕过了BMC的根信任(RoT)。在这种情况下,签名密钥的任何泄露都将影响整个生态系统。重复使用签名密钥并非最佳做法,我们建议至少按产品线轮换签名密钥。基于之前的事件,如PKfail和英特尔Boot Guard密钥泄露事件,加密签名密钥的重复使用可能会造成全行业范围的影响。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
