服务器安全警报：Supermicro主板存在严重漏洞

安全研究人员在Supermicro服务器的基板管理控制器（BMC）中发现两个高危漏洞（CVE-2025-7937和CVE-2025-6198），攻击者能够绕过安全防护安装带有恶意代码的固件镜像，实现对系统的完全持久控制。

不完整的补丁

这些漏洞源于今年初发现的一个漏洞（CVE-2025-10237）。据Binarly安全研究人员透露，之前的安全补丁并不完整，他们成功绕过了防护措施。第二个漏洞则是全新发现的。

技术背景

由于固件镜像验证存在缺陷，攻击者仍可在不触发安全检查的情况下植入恶意代码的镜像。研究人员表示，BMC会将篡改过的镜像误判为正确签名且有效的固件并进行安装。

通过成功利用新漏洞，攻击者还能绕过BMC的信任根（RoT）安全功能。该功能在启动时验证固件合法性。研究人员在报告中详细说明了具体攻击过程。

应对措施

Supermicro已在安全公告中列出了受影响的主板型号和相应的安全更新。该公司表示，目前尚未发现这些漏洞被积极利用的证据。系统管理员应及时为受影响实例安装安全更新。