Il Patch di Supermicro è Fallito, Lasciando i Server Aperti agli Attacchi a Livello di Firmware

I ricercatori di sicurezza hanno identificato vulnerabilità critiche nelle schede madri Supermicro, permettendo agli hacker di incorporare malware che rimane attivo anche dopo il riavvio del sistema, così come la pulizia del sistema.

I controller di gestione baseboard (BMC) situati sulle schede madri dei server presentano queste vulnerabilità di sicurezza poiché i loro piccoli chip permettono agli amministratori di gestire le macchine a distanza, anche quando sono spente.

Questo problema, segnalato per la prima volta da ArsTecnica, riguarda Supermicro, un’azienda statunitense che produce server, schede madri e sistemi di archiviazione che alimentano centri dati, cloud computing e AI. Il suo hardware supporta il calcolo su larga scala per aziende, ricercatori e aziende tecnologiche in tutto il mondo.

ArsTechnica sottolinea che la società di sicurezza Binarly ha scoperto due nuove vulnerabilità nel patch CVE-2024-10237 di gennaio di Supermicro, che ha lasciato una correzione incompleta. L’azienda ha scoperto un ulteriore difetto di sicurezza che si collega al problema precedentemente identificato.

I due nuovi difetti esistono come CVE-2025-7937 e CVE-2025-6198, e colpiscono la memoria del firmware, che è permanentemente collegata alla scheda madre.

I ricercatori hanno paragonato la gravità di queste vulnerabilità all’attacco del 2021 ILObleed, che ha permesso agli aggressori di modificare il firmware del server, rendendolo al contempo resistente alle cancellazioni dell’hard-drive e alle reinstallazioni del sistema operativo. I ricercatori identificano questa minaccia come avente una “Persistenza senza precedenti”, come riportato da ArsTechnica.

Come ha affermato Alex Matrosov, fondatore e CEO di Binarly: “Entrambi i problemi offrono un potere di persistenza senza precedenti su significative flotte di dispositivi Supermicro, incluso [in] i data center AI”, riporta ArsTechnica.

Ha aggiunto: “Dopo aver corretto [la vulnerabilità precedente], abbiamo esaminato il resto della superficie di attacco e abbiamo riscontrato problemi di sicurezza ancora peggiori.”

La principale minaccia alla sicurezza proviene dai meccanismi di verifica della firma BMC, che gli aggressori possono disabilitare per sostituire le immagini del firmware senza essere rilevati. Binarly fornisce informazioni dettagliate sull’attacco, che dimostrano che un aggressore ha bisogno dell’accesso amministrativo BMC per eseguire una riscrittura persistente del firmware.

“Se un potenziale aggressore ha già accesso amministrativo all’interfaccia di controllo BMC (è possibile sfruttando altre vulnerabilità, che abbiamo descritto nei blog 1, 2), allora l’attacco è banale: dobbiamo solo eseguire un aggiornamento con un’immagine maligna. In questo caso, un aggressore trae vantaggio dall’attacco di CVE-2025-7937/CVE-2025-6198 perché il compromesso diventa persistente,” ha dichiarato Binarly, come riportato da ArsTechnica.

Binarly ha descritto come gli aggressori possono modificare la tabella fwmap in modo che le regioni firmate vengano sostituite. “Questo unico elemento conterrà tutte le regioni firmate dell’immagine, una dopo l’altra”, ha scritto l’azienda. Supermicro afferma di aver rilasciato aggiornamenti BMC per mitigare i difetti e sta testando i prodotti interessati. “Non riusciamo a trovare gli aggiornamenti del firmware corretti sul loro sito web”, ha detto Matrasov, come riportato da ArsTechnica.

“Il bug è difficile da correggere. Presumo che ci vorrà più tempo da parte loro”, ha concluso Matrasov.