Bo mạch chủ server Supermicro có thể bị nhiễm malware không thể gỡ bỏ

Tác giả tanthanh 06/02/2026 12 phút đọc

Các máy chủ chạy trên bo mạch chủ do Supermicro bán có chứa các lỗ hổng có mức độ nghiêm trọng cao có thể cho phép tin tặc cài đặt từ xa chương trình cơ sở độc hại chạy ngay cả trước hệ điều hành, khiến việc phát hiện hoặc xóa nhiễm trùng không thể thực hiện được nếu không có biện pháp bảo vệ bất thường.

Một trong hai lỗ hổng là kết quả của một bản vá chưa hoàn chỉnh Supermicro được phát hành vào tháng Giêng, Alex Matrosov, người sáng lập và CEO của Binarly, công ty bảo mật đã phát hiện ra nó, cho biết. Ông nói rằng bản sửa lỗi không đủ nhằm mục đích vá CVE-2024-10237, một lỗ hổng có mức độ nghiêm trọng cao cho phép kẻ tấn công phản xạ lại chương trình cơ sở chạy trong khi máy đang khởi động. Binarly đã phát hiện ra lỗ hổng nghiêm trọng thứ hai cho phép thực hiện kiểu tấn công tương tự.

“Sự kiên trì chưa từng có”

Những lỗ hổng như vậy có thể bị khai thác để cài đặt firmware tương t ILOchảy máu, một thiết bị cấy ghép được phát hiện vào năm 2021 đã lây nhiễm chương trình cơ sở gạt nước vào máy chủ HP Enterprise khiến dữ liệu được lưu trữ trên ổ cứng bị phá hủy vĩnh viễn. Ngay cả sau khi quản trị viên cài đặt lại hệ điều hành, tráo ổ cứng hoặc thực hiện các bước khử trùng thông thường khác, ILObleed sẽ vẫn còn nguyên vẹn và kích hoạt lại cuộc tấn công xóa đĩa. Việc khai thác những kẻ tấn công được sử dụng trong chiến dịch đó đã được HP vá bốn năm trước đó nhưng không được cài đặt trong các thiết bị bị xâm nhập.

“Cả hai vấn đề đều cung cấp sức mạnh bền bỉ chưa từng có trên các nhóm thiết bị Supermicro quan trọng bao gồm [trong] trung tâm dữ liệu AI,” Matrosov đã viết cho Ars trong một cuộc phỏng vấn trực tuyến, đề cập đến hai lỗ hổng mới nhất mà Binarly phát hiện được. “Sau khi họ vá [lỗ hổng trước đó], chúng tôi đã xem xét phần còn lại của bề mặt tấn công và nhận thấy các vấn đề bảo mật thậm chí còn tồi tệ hơn.”

Hai lỗ hổng mới—tracked là CVE-2025-7937 và CVE-2025-6198—reside bên trong silicon được hàn vào bo mạch chủ Supermicro chạy máy chủ bên trong trung tâm dữ liệu. Baseboard management controllers (BMCs) cho phép quản trị viên thực hiện từ xa các tác vụ như cài đặt bản cập nhật, theo dõi nhiệt độ phần cứng và cài đặt tốc độ quạt cho phù hợp. BMC cũng cho phép một số hoạt động nhạy cảm nhất, chẳng hạn như reflash firmware cho UEFI (Unified Extensible Firmware Interface) mà Lôi chịu trách nhiệm tải HĐH máy chủ khi khởi động. BMC cung cấp các khả năng này và hơn thế nữa, ngay cả khi các máy chủ mà họ kết nối bị tắt.

Với sức mạnh phi thường của họ, BMCs tàu với các biện pháp bảo vệ được thiết kế để kiểm tra chữ ký số của firmware cài đặt để đảm bảo nó được ủy quyền bởi nhà sản xuất và an toàn để chạy. Các lỗ hổng mà Binarly phát hiện cho phép tin tặc thay thế hình ảnh chương trình cơ sở an toàn bằng hình ảnh độc hại mà không cần vấp phải cơ chế phát hiện và chặn các cuộc tấn công như vậy.

Trong những lần khai thác như vậy, trước tiên kẻ tấn công cần phải kiểm soát BMC. Posts Binarly xuất bản năm ngoái đây và đây mô tả các lỗ hổng mà Matrosov cho biết có thể bị khai thác để làm điều đó.

Ông viết:

Nếu kẻ tấn công tiềm năng đã có quyền truy cập quản trị vào giao diện điều khiển BMC (có thể bằng cách khai thác các lỗ hổng khác mà chúng tôi đã mô tả trong blog 1, 2), thì việc khai thác là tầm thường—chúng tôi chỉ cần thực hiện cập nhật bằng hình ảnh độc hại. Trong trường hợp này, kẻ tấn công được hưởng lợi từ việc khai thác CVE-2025-7937/CVE-2025-6198 vì sự thỏa hiệp trở nên dai dẳng.
Ngoài ra, có thể các bản cập nhật độc hại có thể được phân phối như một phần của cuộc tấn công chuỗi cung ứng. Ví dụ: nếu máy chủ được sử dụng để lưu trữ các bản cập nhật chương trình cơ sở bị xâm phạm, kẻ tấn công có thể thay thế hình ảnh gốc bằng hình ảnh độc hại. Trong trường hợp đó, nạn nhân sẽ nghĩ rằng các bản cập nhật chương trình cơ sở được tải xuống là đáng tin cậy và không có xác minh nào từ phía BMC sẽ ngăn chặn các bản cập nhật độc hại.

CVE-2025-7937 bắt nguồn từ bản sửa lỗi chưa hoàn chỉnh cho CVE-2024-10237, lỗ hổng được Nvidia phát hiện vào năm ngoái. Ngược lại, lỗ hổng đó là kết quả của lỗ hổng logic trong việc xác thực hình ảnh chương trình cơ sở sau khi nó được tải lên thông qua Supermicro BMC. Hình ảnh được tải vào một con chip riêng được hàn vào bo mạch chủ (cụ thể là của nó Giao diện ngoại vi nối tiếp) lưu trữ chương trình cơ sở UEFI.

Sau khi phân tích bản vá Supermicro được phát hành vào tháng 1 để đáp lại phát hiện của Nvidia, Matrosov cho biết, ông đã phát hiện ra những cách bổ sung mà lỗ hổng có thể bị khai thác với những tác động mạnh mẽ hơn nữa. Tóm lại, việc khai thác CVE-2024-10237 liên quan đến việc thêm các mục tùy chỉnh vào bảng fwmap, bảng này lưu trữ các vị trí bộ nhớ, chữ ký và dữ liệu quan trọng khác để xác thực chương trình cơ sở. Bản sửa lỗi tháng 1 đã thêm hai chức năng mới chặn các mục mới được thêm vào ở các độ lệch bộ nhớ cụ thể được sử dụng trong Nvidia PoC. Binarly phát hiện ra rằng lỗ hổng tương tự vẫn có thể bị khai thác ở một mức độ khác.

“Phần tử duy nhất này sẽ chứa tất cả các vùng được ký của hình ảnh, lần lượt từng vùng khác,” Binarly giải thích trong a đăng vào thứ ba. “Để việc khai thác của chúng tôi trở nên hữu ích, giờ đây chúng tôi có thể thay thế khu vực dành riêng cho mã bộ tải khởi động ban đầu bằng nội dung tùy chỉnh.”

“Chúng tôi không thể tìm thấy các bản cập nhật chương trình cơ sở đã vá trên trang web của họ,” Matrosov cho biết. “Lỗi khó sửa. Tôi cho rằng sẽ mất nhiều thời gian hơn từ họ.”