はじめに
Supermicro製ハードウェアのBaseboard Management Controller(BMC)ファームウェアに、永続的なバックドアを作成する可能性のある新たな脆弱性が発見されました。ファームウェアセキュリティ企業のBinarlyの専門家が発見したこれらの脆弱性は、攻撃者が悪意を持って作成されたイメージでシステムを更新することを可能にします。
影響を受ける脆弱性は、以前Supermicroがパッチを適用したCVE-2024-10237のバイパスと、新たに特定されたCVE-2025-6198です。Binarlyの研究者らは、「このセキュリティ問題により、潜在的な攻撃者はBMCシステムとメインサーバーOSの完全かつ永続的な制御を獲得できる」と述べています。
BMCとは何か、なぜ重要なのか
BMCは、Supermicro製サーバーのマザーボードに搭載されているマイクロコントローラーであり、システムが電源オフの状態であっても、リモートでのシステム監視と管理を可能にします。この特性から、BMCはサーバーのセキュリティにおいて極めて重要な役割を担っています。攻撃者がBMCを制御すると、サーバーの起動プロセスやOSの動作に深く介入し、検出されにくい永続的なアクセスを確立することが可能になります。
CVE-2024-10237のバイパス手法
SupermicroはCVE-2024-10237を修正するために、カスタムのfwmapエントリー(ファームウェアイメージ内の命令テーブル)を制限するチェックを追加しました。しかし、Binarlyの研究者らは、ベンダーのオリジナルfwmapがシステムにロードされる前に、悪意のあるfwmapを注入できることを発見しました。これにより、攻撃者は実際のコンテンツを再配置または置き換えることができ、同時にダイジェスト(ハッシュ値)の一貫性を保つことが可能になります。
この手法により、計算されたハッシュ値が署名された値と一致するため、署名検証をすり抜けてしまいます。結果として、BMCはイメージを受け入れてフラッシュし、潜在的に悪意のあるブートローダーやカーネルを導入しますが、すべてが署名され有効であるかのように見えます。この問題はSupermicroに報告され、現在はCVE-2025-7937として識別されています。
CVE-2025-6198:RoTの不完全な保護
Binarlyが発見したもう一つの脆弱性CVE-2025-6198は、X13SEM-FマザーボードファームウェアのOP-TEE環境で実行されるauth_bmc_sig関数内の検証ロジックの欠陥に起因します。署名された領域がアップロードされたイメージ自体で定義されているため、攻撃者はカーネルやその他の領域を変更し、元のデータを未使用のファームウェアスペースに再配置することで、ダイジェストを有効に保つことができます。
研究者らは、カスタマイズされたカーネルのフラッシュと実行を実証し、起動中にカーネル認証が実行されないことを示しました。これは、BMC RoT(Root of Trust)機能がプロセスを部分的にしか保護していないことを意味します。この脆弱性を悪用することで、悪意のあるファームウェアの注入や、既存のイメージをより安全でないバージョンにダウングレードすることが可能になります。
脆弱性の深刻な影響
これらの脆弱性は、再起動やOSの再インストール後も持続する永続的なバックドアを作成する可能性があります。これにより、攻撃者はサーバーを高度に制御し、セキュリティチェックを確実に回避することができます。BMCファームウェアの脆弱性は、過去にサーバーの大量破壊を引き起こすなど、特に危険であることが知られています。また、CISAが過去にこのようなバグの悪用を警告しているように、これらの問題は理論上の脅威に留まりません。
対策と推奨事項
Supermicroは、影響を受けるモデル向けにファームウェア修正をリリースしています。Binarlyは両方の問題に対する概念実証(PoC)エクスプロイトを公開しているため、潜在的に影響を受けるシステムを保護するために迅速な対応が求められます。システム管理者は、速やかにファームウェアを更新し、サーバーのセキュリティを確保することが不可欠です。