Bo mạch chủ máy chủ Supermicro chứa các lỗ hổng nghiêm trọng cho phép kẻ tấn công cài đặt firmware độc hại với khả năng dai dẳng phi thường. Các lỗ hổng bảo mật này, được phát hiện bởi Binarly , ảnh hưởng đến hệ thống Baseboard Management Controller ( BMC ) cung cấp khả năng quản lý máy chủ từ xa. Những lỗ hổng này cho phép kẻ tấn công tạo ra các cuộc nhiễm độc có thể tồn tại qua việc cài đặt lại hệ điều hành, thay thế ổ cứng và các quy trình khôi phục tiêu chuẩn khác.
Phát hiện này đã gây ra cuộc tranh luận sôi nổi trong cộng đồng công nghệ về những thách thức bảo mật cơ bản mà cơ sở hạ tầng máy chủ hiện đại đang phải đối mặt. Hai lỗ hổng mới, CVE-2025-7937 và CVE-2025-6198 , xuất phát từ việc vá lỗi không hoàn chỉnh một lỗ hổng bảo mật trước đó. Lỗ hổng đầu tiên đại diện cho một bản sửa lỗi không đầy đủ cho CVE-2024-10237 , ban đầu được phát hiện bởi Nvidia , trong khi lỗ hổng thứ hai mở ra các vector tấn công hoàn toàn mới.
Các lỗ hổng bị ảnh hưởng:
- CVE-2025-7937: Bản vá không hoàn chỉnh cho lỗ hổng BMC trước đó
- CVE-2025-6198: Lỗ hổng nghiêm trọng mới cho phép thay thế firmware
- CVE-2024-10237: Lỗ hổng gốc được phát hiện bởi Nvidia (đã vá không đầy đủ)
Vấn đề dai dẳng tạo ra cơn ác mộng khôi phục
Khía cạnh đáng lo ngại nhất của những lỗ hổng này nằm ở cơ chế dai dẳng của chúng. Không giống như malware truyền thống nhắm vào hệ điều hành hoặc ứng dụng, những cuộc tấn công này nhúng chính mình vào firmware được tải trước khi bất kỳ hệ điều hành nào khởi động. Điều này tạo ra thứ mà các nhà nghiên cứu bảo mật gọi là sự dai dẳng chưa từng có trên các hạm đội máy chủ.
Cuộc thảo luận trong cộng đồng tiết lộ sự thất vọng đáng kể với các tùy chọn khôi phục. Trong khi một số đề xuất rằng firmware có thể được khôi phục thông qua việc thay thế chip vật lý hoặc giao diện lập trình chuyên dụng, thực tế thực tiễn lại hoàn toàn khác. Hầu hết các phòng ban IT thiếu chuyên môn và thiết bị để hàn tháo các thành phần từ bo mạch chủ máy chủ đắt tiền. Quá trình này đòi hỏi kỹ năng chuyên môn, mang rủi ro cao về hư hỏng phần cứng, và chứng tỏ không thực tế cho việc triển khai quy mô lớn.
Lưu ý: BMC (Baseboard Management Controller) - Một bộ xử lý chuyên dụng cung cấp khả năng quản lý từ xa cho máy chủ, cho phép quản trị viên giám sát và điều khiển hệ thống ngay cả khi chúng đang tắt nguồn.
Phương pháp khôi phục:
- Tháo rời chip vật lý (yêu cầu kỹ năng chuyên môn và thiết bị chuyên dụng)
- Giao diện lập trình JTAG (không phổ biến trên các bo mạch sản xuất thương mại)
- Lập trình bằng kẹp vampire/pogo (tính khả dụng và hiệu quả hạn chế)
- Thay thế hoàn toàn phần cứng (lựa chọn thực tế nhất nhưng tốn kém)
Các cuộc tranh luận về cách ly mạng bỏ lỡ trọng tâm
Một phần đáng kể của cuộc thảo luận cộng đồng tập trung vào việc cách ly mạng như một chiến lược phòng thủ chính. Nhiều người cho rằng BMC nên hoạt động trên các mạng được tách biệt vật lý với kiểm soát truy cập nghiêm ngặt. Tuy nhiên, cách tiếp cận này phải đối mặt với những thách thức thực tế vượt ra ngoài cấu hình mạng đơn giản.
Hành vi mặc định của Supermicro làm phức tạp vấn đề một cách đáng kể. Không giống như các nhà sản xuất khác cung cấp giao diện mạng BMC chuyên dụng, nhiều bo mạch Supermicro tự động liên kết lưu lượng BMC với giao diện mạng chính khi các cổng BMC chuyên dụng vẫn chưa được cắm. Lựa chọn thiết kế này có nghĩa là ngay cả việc cách ly mạng được lên kế hoạch cẩn thận cũng có thể thất bại do ngắt kết nối cáp hoặc đặt lại cấu hình.
Cộng đồng nêu bật một vấn đề quan trọng khác: ngay cả với việc cách ly mạng hoàn hảo, các lỗ hổng vẫn quan trọng. Quyền truy cập quản trị có được thông qua các phương tiện khác - dù thông qua các cuộc tấn công chuỗi cung ứng, mối đe dọa nội bộ, hoặc các vi phạm bảo mật khác - vẫn có thể khai thác những lỗ hổng này để tạo ra các cuộc nhiễm độc dai dẳng.
Bảo mật cấp độ phần cứng đòi hỏi thiết kế tốt hơn
Cộng đồng kỹ thuật ủng hộ mạnh mẽ những thay đổi cơ bản trong thiết kế phần cứng máy chủ. Các triển khai BMC hiện tại phụ thuộc nhiều vào các biện pháp bảo mật dựa trên phần mềm chứng tỏ không đầy đủ chống lại những kẻ tấn công quyết tâm. Các thành viên cộng đồng đề xuất một số giải pháp dựa trên phần cứng có thể cải thiện đáng kể bảo mật.
Các công tắc bảo vệ ghi vật lý đại diện cho một đề xuất phổ biến. Những cơ chế phần cứng đơn giản này có thể ngăn chặn việc sửa đổi firmware mà không có sự can thiệp vật lý rõ ràng. Trong khi cách tiếp cận này có thể làm phức tạp các bản cập nhật thường xuyên, nó sẽ cung cấp sự bảo vệ mạnh mẽ chống lại các cuộc tấn công từ xa. Một số thành viên cộng đồng lưu ý rằng các cơ chế tương tự đã tồn tại trong các hệ thống máy tính cũ hơn và chứng tỏ hiệu quả.
Một giải pháp được đề xuất khác liên quan đến thiết kế firmware kép với khả năng dự phòng. Cách tiếp cận này sẽ duy trì một hình ảnh firmware được bảo vệ cùng với một phiên bản có thể cập nhật, cho phép khôi phục từ các trạng thái bị xâm phạm mà không cần thiết bị hoặc chuyên môn chuyên dụng.
Tác động toàn ngành mở rộng ra ngoài Supermicro
Trong khi lỗ hổng cụ thể này ảnh hưởng đến các sản phẩm Supermicro , cuộc thảo luận cộng đồng tiết lộ rằng các điểm yếu bảo mật tương tự có thể tồn tại trên toàn bộ ngành công nghiệp máy chủ. Chất lượng firmware BMC vẫn kém một cách nhất quán trên các nhà cung cấp, với hầu hết các triển khai giống như phần mềm rác theo các quản trị viên có kinh nghiệm.
Các động lực kinh tế thúc đẩy tình huống này tạo ra một môi trường đầy thách thức cho việc cải thiện. Các nhà sản xuất máy chủ tập trung tài nguyên vào chức năng chính thay vì tăng cường bảo mật cho giao diện quản lý. Phần mềm kết quả thường chứa nhiều lỗ hổng, và chất lượng vá lỗi vẫn không nhất quán trên toàn ngành.
Một số thành viên cộng đồng chỉ ra các giải pháp mới nổi như OpenBMC , một dự án firmware BMC mã nguồn mở hứa hẹn bảo mật tốt hơn thông qua tính minh bạch và đánh giá cộng đồng. Tuy nhiên, việc áp dụng vẫn còn hạn chế, và các nhà sản xuất lớn tiếp tục vận chuyển các giải pháp độc quyền với các thực hành bảo mật đáng ngờ.
Yêu cầu tấn công:
- Quyền truy cập quản trị vào giao diện BMC (có thể có được thông qua các lỗ hổng khác)
- Khả năng tải lên các hình ảnh firmware độc hại
- Khai thác bỏ qua các cơ chế xác thực chữ ký số
Kết luận
Những lỗ hổng Supermicro này làm nổi bật các điểm yếu cơ bản trong kiến trúc bảo mật máy chủ hiện đại. Trong khi cách ly mạng và kiểm soát truy cập cung cấp các lớp phòng thủ quan trọng, chúng không thể thay thế cho thiết kế phần cứng an toàn. Các cơ chế dai dẳng được kích hoạt bởi những lỗ hổng này tạo ra những thách thức khôi phục vượt quá khả năng của hầu hết các tổ chức IT.
Con đường phía trước đòi hỏi cam kết toàn ngành đối với các cải tiến bảo mật cấp độ phần cứng. Các cơ chế bảo vệ vật lý, xác thực firmware tốt hơn, và các lựa chọn thay thế mã nguồn mở đại diện cho các hướng đi hứa hẹn. Tuy nhiên, thay đổi có ý nghĩa sẽ đòi hỏi cả nhu cầu khách hàng và áp lực quy định để vượt qua các động lực kinh tế hiện tại ưu tiên chức năng hơn bảo mật.
Đối với các tổ chức vận hành máy chủ Supermicro , các bước ngay lập tức nên bao gồm cách ly mạng, giám sát truy cập, và chuẩn bị cho các quy trình khôi phục firmware tiềm năng. Tuy nhiên, giải pháp cuối cùng nằm ở việc yêu cầu các thực hành bảo mật tốt hơn từ các nhà sản xuất phần cứng trên toàn bộ ngành công nghiệp.
Tham khảo: Supermicro server motherboards can be infected with unremovable malware