在超微基板管理控制器(BMC)固件中发现的严重漏洞揭示了一个令人担忧的模式:不完善的安全修复会产生新的攻击向量,使老练的攻击者能够绕过签名验证机制,并对企业服务器基础设施保持持久控制。
这些缺陷影响了多代超微主板,表明固件验证流程中的设计缺陷会破坏服务器硬件的基本安全假设。
这些漏洞是在对本应已修复的安全问题进行调查后发现的,这表明2025年1月供应商实施的补丁不足以解决潜在的认证缺陷。
最初的漏洞CVE-2024-10237由NVIDIA的 offensive 安全研究团队发现,该漏洞涉及BMC固件镜像认证设计中的根本性缺陷,可能使拥有管理员权限的攻击者能够上传恶意固件更新。
Binarly的分析师发现了一种绕过该供应商针对CVE-2024-10237所做修复的技术,这导致了CVE-2025-7937的分配。
在对不同的超微产品进行深入分析期间,研究人员发现了一个采用不同利用技术的类似漏洞,该漏洞被分配了CVE-2025-6198编号。
对第二个漏洞的利用显示出其能力不仅限于简单的固件更新,还能让攻击者完全绕过基板管理控制器(BMC)的信任根(RoT)安全功能。
这些攻击向量利用了超微公司基板管理控制器(BMC)实施方案中所采用的三步固件验证流程存在的设计缺陷。
最初,系统从构成当前运行固件一部分的BMC SPI闪存芯片中检索公钥,同时使用RSA-4096验证从上传的镜像 blob 中提取加密签名值。
然后,该过程会分析代表不同固件区域的嵌入式表格,计算已签名区域的SHA-512哈希摘要,再根据计算出的摘要验证签名。
这些漏洞使攻击者能够完全且持续地控制BMC系统和主服务器操作系统,构成了一条严重的升级路径,破坏了企业环境中基本的硬件安全假设。
利用机制与签名绕过技术
这些绕过技术利用了固件验证逻辑在处理上传镜像中嵌入的区域表时存在的根本性缺陷。
对于CVE-2025-7937,攻击者通过在原始fwmap表之前引入自定义fwmap表来规避所谓的修复措施,这些自定义表包含将所有签名区域连接在一起的单个元素。
该漏洞利用了fwmap表在内存中按签名而非固定位置存放这一特点,从而能够操纵验证序列。
在X12STW-F固件版本01.06.17中,原始验证过程定义了六个不同的区域,每个区域都有特定的偏移量和签名要求。
这种绕过技术在偏移量0x100000处创建了一个合并项,大小为0x2b32c00,标记为已签名的启动内容,有效地将所有合法的已签名区域包装成一个经过验证的单个块,同时在引导加载程序空间中插入恶意内容。
对于CVE-2025-6198,其利用技术针对OP-TEE环境中的auth_bmc_sig函数,对位于偏移量0x100000处的sig_table部分进行操纵。
这种替代验证方法对区域信息的处理方式不同,在前四个字节中存储偏移量,在其余字节中存储经过自定义转换的大小值。
通过修改内核区域并更新相应的sig_table条目,攻击者在BMC启动过程中执行任意代码的同时,仍能保持签名的有效性。
这些技术的成功利用会导致持续的任意代码执行能力,经过修改的内核镜像会在启动过程中绕过认证机制。
Binarly的研究人员展示了通过UART调试接口成功验证和刷新修改后的镜像,证实定制内核能够运行且不会触发安全机制,这实际上破坏了整个BMC安全模型。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
