Supermicroハードウェアのファームウェア(Baseboard Management Controller(BMC)を含む)に影響を与える2つの脆弱性により、攻撃者が悪意のあるイメージでシステムをアップデートできる可能性があります。
Supermicroはサーバー、マザーボード、データセンターハードウェアのメーカーです。BMCはSupermicroサーバーマザーボード上のマイクロコントローラーで、システムの電源がオフでもリモートでシステムの監視や管理を可能にします。
ファームウェアセキュリティ企業Binarlyの専門家は、Supermicroが今年1月にパッチを適用した脆弱性(CVE-2024-10237)およびCVE-2025-6198として特定された別の脆弱性のバイパス方法を発見しました。
「このセキュリティ問題により、攻撃者がBMCシステムおよびメインサーバーOSの完全かつ永続的な制御を得る可能性があります」とBinarlyの研究者は述べています。
どちらのセキュリティ問題も、非公式のファームウェアでBMCシステムをアップデートするために利用できますが、研究者によるとCVE-2025-6198はBMC RoT(Root of Trust)—システムが正規のファームウェアで起動していることを検証するセキュリティ機能—のバイパスにも悪用可能です。
悪意のあるファームウェアを仕込むことで、再起動やOSの再インストールを経ても持続し、サーバーの高度な制御やセキュリティチェックの確実な回避が可能となります。
CVE-2024-10237を修正するために、Supermicroはカスタムfwmapエントリを制限するチェックを追加しました。fwmapはファームウェアイメージ内の命令テーブルで、ファームウェアイメージの操作に利用される可能性があります。
出典:Binarly
しかし、Binarlyの研究者は、ベンダーのオリジナルがシステムにロードされる前に悪意のあるfwmapを注入し、攻撃者が署名済み領域を宣言することで実際の内容を移動または置き換えつつ、ダイジェストを整合させることが可能であることを発見しました。
これは、計算されたハッシュ値が署名された値と一致し、署名検証が成功することを意味します。たとえファームウェアイメージ内の一部が入れ替えられたり置き換えられたりしていてもです。
出典:Binarly
その結果、BMCはイメージを受け入れてフラッシュし、潜在的に悪意のあるブートローダーやカーネルを導入しますが、すべてが署名済みかつ有効に見えます。
研究者はこの問題をSupermicroに報告しました。同社は脆弱性を確認し、現在はCVE-2025-7937として特定されています。
Binarlyが発見した2つ目のバグCVE-2025-6198は、X13SEM-FマザーボードファームウェアのOP-TEE環境で実行されるauth_bmc_sig関数内の検証ロジックの欠陥に起因します。
署名領域がアップロードされたイメージ自体で定義されているため、攻撃者はカーネルや他の領域を改変し、元のデータを未使用のファームウェア領域に移動してダイジェストを有効に保つことができます。
研究者はカスタマイズされたカーネルのフラッシュと実行を実演し、カーネル認証が起動時に実行されていないこと、つまりRoot of Trust機能がプロセスを部分的にしか保護していないことを示しました。
出典:Binarly
この脆弱性を悪用することで、バイパスと同じ結果が得られ、悪意のあるファームウェアの注入や既存イメージのより安全性の低いものへのダウングレードが可能となります。
Supermicroは影響を受けるモデル向けにファームウェア修正をリリースしています。Binarlyは両問題の実証コードを公開しているため、影響を受ける可能性のあるシステムの迅速な保護が必要です。
BMCファームウェアの脆弱性は永続的であり、特に危険な場合があり、サーバーの大量故障を引き起こすこともあります。これらの問題は理論上のものではなく、CISAは以前にこの種のバグの実際の悪用を警告しています。
