新超微BMC漏洞可创建持久性后门

作者：Bill Toulas
2025年9月24日 下午04:13

影响超微硬件固件的两个漏洞（包括基板管理控制器）允许攻击者通过恶意制作的镜像更新系统。超微是服务器、主板和数据中心硬件制造商。BMC是超微服务器主板上的微控制器，即使系统断电也能进行远程监控和管理。

固件安全公司Binarly的专家发现了一个绕过漏洞（CVE-2024-10237）的方法，该漏洞超微已于今年1月修补，同时发现的另一个漏洞被标识为CVE-2025-6198。

Binarly研究人员表示：“此安全问题可能让潜在攻击者获得对BMC系统和主服务器操作系统的完全持久控制。“两个安全问题都可用于使用非官方固件更新BMC系统，但研究人员指出CVE-2025-6198还可用于绕过BMC信任根（RoT）——验证系统是否使用合法固件启动的安全功能。

植入恶意固件可实现跨重启和操作系统重新安装的持久性、对服务器的高级控制以及可靠绕过安全检查。为修复CVE-2024-10237，超微增加了限制自定义fwmap条目的检查，这些是固件镜像内部的指令表，可能被利用来操纵固件镜像。

然而，Binarly研究人员发现，在系统加载供应商原始固件之前，仍可注入恶意fwmap，以允许攻击者重新定位或替换实际内容同时保持摘要一致的方式声明签名区域。这意味着计算出的哈希值等于签名值且签名验证成功，即使固件镜像中的部分内容已被交换或替换。

因此，BMC接受并刷写镜像，引入潜在的恶意引导程序或内核，而一切仍显示为已签名且有效。研究人员向超微报告了此问题。公司确认了该漏洞，现标识为CVE-2025-7937。

Binarly发现的第二个漏洞CVE-2025-6198源于X13SEM-F主板固件OP-TEE环境中执行的auth_bmc_sig函数内的有缺陷验证逻辑。由于签名区域在上传的镜像本身中定义，攻击者可修改内核或其他区域，并将原始数据重新定位到未使用的固件空间，保持摘要有效。

研究人员演示了刷写和执行定制内核，表明启动期间未执行内核身份验证，意味着信任根功能仅部分保护该过程。利用该漏洞可实现与绕过相同的结果，允许注入恶意固件或将现有镜像降级到安全性较低的版本。

超微已发布受影响型号的固件修复程序。Binarly发布了这两个问题的概念验证漏洞利用，因此需要立即采取行动保护可能受影响的系统。BMC固件漏洞具有持久性且可能特别危险，在某些情况下导致服务器大规模变砖。这些问题也非理论性的，因为CISA此前已标记在野利用此类漏洞。