Falha no Patch da Supermicro Deixou Servidores Vulneráveis a Ataques no Nível de Firmware

Pesquisadores de segurança identificaram vulnerabilidades críticas nas placas-mãe Supermicro, permitindo que hackers insiram malwares que permaneçam ativos mesmo após reinicializações do sistema, bem como a limpeza do sistema.

Os controladores de gerenciamento de baseboard (BMCs), localizados nas placas-mãe dos servidores, contêm essas falhas de segurança, pois seus minúsculos chips permitem que os administradores gerenciem as máquinas remotamente, mesmo quando estão desligadas.

Este problema, relatado inicialmente por ArsTecnica, envolve a Supermicro, uma empresa dos EUA que produz servidores, placas-mãe e sistemas de armazenamento que alimentam data centers, computação em nuvem e IA. Seu hardware suporta computação em larga escala para empresas, pesquisadores e empresas de tecnologia em todo o mundo.

A ArsTechnica observa que a empresa de segurança Binarly descobriu duas novas vulnerabilidades no patch CVE-2024-10237 de janeiro da Supermicro, que deixou uma correção incompleta. A empresa descobriu uma falha de segurança adicional que se conecta ao problema anteriormente identificado.

Os dois novos defeitos existem como CVE-2025-7937 e CVE-2025-6198, e afetam o armazenamento de firmware, que está permanentemente ligado à placa-mãe.

Os pesquisadores compararam a gravidade dessas vulnerabilidades ao ataque de 2021 ILObleed, que permitiu aos invasores modificar o firmware do servidor, ao mesmo tempo em que o tornava resistente à limpeza de discos rígidos e reinstalações de sistemas operacionais. Os pesquisadores identificam essa ameaça como tendo uma “persistência sem precedentes”, conforme relatado pela ArsTechnica.

Como Alex Matrosov, fundador e CEO da Binarly, colocou: “Ambas as questões proporcionam um poder de persistência sem precedentes em importantes frotas de dispositivos Supermicro, incluindo [em] centros de dados de IA”, relata a ArsTechnica.

Ele acrescentou: “Depois que eles corrigiram [a vulnerabilidade anterior], analisamos o restante da superfície de ataque e encontramos problemas de segurança ainda piores.”

A principal ameaça à segurança surge dos mecanismos de verificação de assinatura do BMC, que os invasores podem desativar para substituir imagens de firmware sem detecção. A Binarly fornece informações detalhadas sobre o vetor de ataque, que mostram que um invasor precisa de acesso administrativo ao BMC para executar a regravação persistente do firmware.

“Se um potencial invasor já tem acesso administrativo à interface de controle do BMC (é possível através da exploração de outras vulnerabilidades, que descrevemos nos blogs 1, 2), então a exploração é trivial – só precisamos realizar uma atualização com uma imagem maliciosa. Neste caso, o invasor se beneficia da exploração do CVE-2025-7937/CVE-2025-6198 porque o comprometimento se torna persistente”, disse a Binarly, conforme relatado pela ArsTechnica.

A Binarly descreveu como os invasores podem alterar a tabela fwmap para que as regiões assinadas sejam substituídas. “Este único elemento conterá todas as regiões assinadas da imagem, uma após a outra”, escreveu a empresa. A Supermicro diz que lançou atualizações do BMC para mitigar as falhas e está testando os produtos afetados. “Não conseguimos encontrar as atualizações de firmware corrigidas em seu site”, disse Matrasov, conforme relatado pela ArsTechnica.

“O bug é difícil de corrigir. Eu suponho que vai levar mais tempo deles”, concluiu Matrasov.