近年来,随着数据中心和企业服务器的规模不断扩大,服务器管理控制器(BMC,Baseboard Management Controller)作为管理服务器硬件运行状态和远程维护的重要组成部分,其安全性受到了广泛关注。超级微(Supermicro)作为全球领先的服务器硬件制造商,其BMC固件的安全漏洞曾先后引发多次安全警报。2025年,继先前三个高危漏洞被修复后,有关研究团队发现先前漏洞修补不足,并发现了两项新漏洞,揭示了BMC固件中系统设计和验证机制的深层缺陷。 此次曝光的两个新漏洞分别是CVE-2025-7937和CVE-2025-6198,它们均源于BMC固件验证逻辑中的设计缺陷,允许攻击者绕过官方补丁,实现对BMC系统的恶意固件更新,继而可能获得对主服务器操作系统的完全控制。尤其值得警惕的是,CVE-2025-6198漏洞还能突破BMC的根信任(Root of Trust)安全机制,这一硬件级别的安全保障在相关主板上并未发挥应有的保护作用。回溯到2025年年初,超级微发布安全公告,修复了三处固件镜像验证问题,其中CVE-2024-10237作为核心缺陷,允许通过篡改固件验证表格轻易执行恶意镜像更新。
然而Binarly安全研究团队通过逆向分析,针对该漏洞补丁设计提出绕过方案,成功触发新漏洞CVE-2025-7937。 此外,针对另一款Supermicro主板X13SEM-F的BMC固件解析,研究团队发现其采用了独特的固件验证机制 - - sig_table结构,在一个专门的OP-TEE安全执行环境中进行固件认证。此机制虽然兼顾了部分安全需求,但验证过程中依旧存在逻辑漏洞,允许恶意固件数据在保留有效签名的前提下伪装,并被系统接受。这种设计缺陷不仅使得认证流程失效,还暴露出固件回退攻击的风险,即攻击者可以将BMC固件回滚至旧版本,从而绕过安全补丁。上述两个新漏洞的出现,毫无疑问对BMC固件安全提出了新的警示。过去认为通过数字签名验证机制可以全面保护固件完整性的做法显然过于乐观,固件自身配置表的数据篡改仍然可导致整个验证过程被欺骗,进而实现恶意代码的植入。
更重要的是,BMC作为一台服务器的"心脏",其控制权限的攻破意味着攻击者可以在极低的层面影响服务器,绕过操作系统防护,甚至发动持久化攻击和高级持续性威胁(APT)。从技术角度剖析,漏洞利用链中,攻击者通常需要先获得对BMC操作系统的管理权限,之后上传特制的固件镜像。固件镜像里包含经过精心构造的固件区域表(fwmap或sig_table),这些表格被用于定义固件中哪些区域被签名或未签名,并指导系统计算固件数据的哈希值以进行签名验证。通过在未经授权的偏移地址插入恶意区域,攻击者实现了原签名哈希与被篡改镜像数据的配对,从而欺骗验证机制。CVE-2025-7937正是基于此原理,该漏洞并没有被之前版本修复的函数所拦截。此外,CVE-2025-6198在硬件支持根信任的主板上依然能够绕过签名验证,揭示了固件认证流程分布式的多环节存在薄弱环节。
针对当前形势,超级微官方已确认漏洞的存在,并已发布对应安全公告。鉴于漏洞特性和潜在影响,防御策略需在固件更新流程、安全审计和监控方面全面加强。建议服务器管理员首先确保安装并验证最新官方固件包,切勿使用来源不明或未经签名验证的镜像文件。同时需开启和配置BMC芯片所支持的根信任功能,以硬件层面强化固件完整性的保护。为了更有效监测潜在异常,推荐部署具备低层固件检测能力的安全产品,如具备代码级检测引擎的防护平台,能够提前识别存在漏洞的固件并阻断升级操作。 此外,定期安全评估与固件安全加固同样重要。
企业应将BMC固件安全纳入整体服务器安全策略,结合渗透测试与漏洞扫描,动态识别更新修复潜在风险。加强员工安全意识教育,防止因身份凭证泄露导致的BMC操作权限滥用。厂商应推动固件验证机制的多重防护设计,严格限制固件中可被修改的区域与数据结构,避免类似漏洞通过简单的签名伪造实现攻击。 Binarly研究团队此次发现并公布漏洞的行动,彰显了安全研究在发现和推动修复复杂底层漏洞中的重要性。借助其基于静态和动态分析的检测平台,能够精准定位漏洞代码段,极大提升检测效率和准确率。行业内也期待未来厂商能够认真检视基于传统数字签名机制的固件安全模型,结合当前硬件安全技术,开发更具韧性的根信任方案,同时推动开放透明的安全审计机制。
总体而言,超级微BMC固件影响深远的多次漏洞提醒我们,硬件安全不能仅仅依赖单一的签名验证和逻辑检查,必须提升固件生命周期管理和安全设计的整体水平。作为企业运营的关键基础设施组件,BMC的安全性牵一发而动全身。技术人员、系统管理员、厂商及安全研究者需形成合力,持续加强固件安全检测、修复和防御能力,才能有效抵御日益复杂的攻击威胁,保障服务器生态系统的健康和稳定。 。
