世界を動かす技術を、日本語で。

Supermicroサーバーマザーボードは除去できないマルウェアに感染する可能性があります

2025年9月25日原文(arstechnica.com)

概要

  • Supermicro製マザーボード 搭載サーバーに深刻な脆弱性
  • 攻撃者によるリモートファームウェア改ざん の危険性
  • 既存パッチの不完全性 と新たな脆弱性の発見
  • ILObleedのような高度な持続型攻撃 のリスク
  • BMCを悪用した攻撃範囲の拡大 と対策の難しさ

Supermicroサーバーにおける高深刻度の脆弱性

  • Supermicro製マザーボード 搭載サーバーに、 リモートからマルウェアファームウェア をインストール可能な重大な脆弱性の存在
  • オペレーティングシステム起動前 に動作するため、一般的なセキュリティ対策では 検出・除去が困難
  • Binarly社のAlex Matrosov氏 が、2024年1月に公開されたパッチ(CVE-2024-10237)が 不完全であった ことを指摘
  • Binarlyはさらに 同様の攻撃を可能にする新たな脆弱性 を発見

持続性の高い攻撃とILObleedとの類似性

  • これらの脆弱性は、 ILObleedのようなファームウェアマルウェア のインストールに悪用可能
    • ILObleedは2021年に発見された HP Enterpriseサーバー向けの破壊的なワイパーファームウェア
    • OS再インストールやハードディスク交換でも 感染が残存
  • 過去のILObleed攻撃では、 4年前に公開済みのパッチ未適用 が被害拡大の要因

新たに発見された脆弱性の詳細

  • 新たな脆弱性は CVE-2025-7937 および CVE-2025-6198 として管理
  • 脆弱性は Supermicroマザーボード上のシリコン内部 に存在
  • Baseboard Management Controller(BMC) が攻撃対象
    • BMCは リモート管理・ファームウェア再書き込み など多様な機能を提供
    • サーバーが 電源オフの状態でも操作可能

攻撃者による持続的な制御のリスク

  • 両脆弱性は AIデータセンターを含む広範なSupermicroデバイス群 に影響
  • 従来の対策(OS再インストールやディスク交換)では不十分
  • パッチ適用後も新たな攻撃面が発見される ため、継続的な監視と対策が必要

セキュリティ対策と今後の課題

  • ファームウェアレベルのセキュリティ強化 の重要性
  • BMCアクセス制限や異常検知機構 の導入
  • パッチの迅速な適用と脆弱性情報の定期的な確認
  • 物理的なセキュリティ対策多層防御 の検討

Hackerたちの意見

リモートアクセスでは削除できないけど、JTAGを使ってファームウェアを再フラッシュすれば確実に削除できるよ。製造時にファームウェアを初めてロードするために使ったインターフェースでも同じ。

BIOSのフラッシュは、基板にハンダ付けする前に通常プリフラッシュされるんだよね。一部のベンダーはJTAGやSPIの接続を用意してるけど、TSOPやそれに相当するチップにはバンパイアクリップやポゴクリップが必要になることが多いよ。もしこれで復旧する必要があるなら、BIOSフラッシュを再ハンダ付けするのが大変かも。現場でやるのは不可能じゃないけど、ベンダーがそのインターフェースを提供してることはあまり期待できないよ。

ビジネスアイデア:EPROMベースのファームウェア

EPROMをソケットに入れるって、1987年の話かよ? 一部のマザーボードにはBIOSのフラッシュを防ぐための物理ジャンパーがあるんだ。これはサーバー1台、10台、あるいは100台には十分な頻度で起こるけど、1000台には実用的じゃないだろうね。

すごいな

物理的なチップを引き抜いてファームウェアをアップグレードするなんてことをしたら、返品やRMAがたくさん出てきて、すぐにその機能は廃止されるだろうね。最近では、小さな問題を解決したり、マザーボードが製造された後に発売された新しいCPUをサポートしたりするためにファームウェアのアップデートを行うのが一般的だよ。欲しい人のために、書き込み保護の物理スイッチを追加するメーカーもいるかもしれないね。オプトインで切り替え可能にすればいいと思う。

物理的なファームウェアチップを2つ用意するのもいいかもね:一つは書き込み可能で、もう一つは書き込み不可でバックアップ用。で、物理スイッチ、ジャンパーでもいいけど、バックアップを選択できるようにする。もし侵害されたらスイッチを切り替えて、クリーンなファームウェアからブートして、書き込み可能なチップをフラッシュして、スイッチを戻して再起動する。GigabyteがDual Biosみたいな同じセットアップを提供してたのは確かだと思う。

これがAspeedやamiのBMCを使っている他のシステムでも同じなのか、問題のキー ペアがSM専用なのか、わかる?

そうだよ。Supermicroはこの攻撃をRoTで防ごうとする数少ないベンダーの一つなんだ。他のベンダーは好きな署名なしファームウェアをフラッシュできるからね。Intelのエンジニアリングサンプル用のマイクロコードを追加したり、マルウェアを入れたりするのにすごく便利だよ…

Supermicroは本当に運がないね!

「もし潜在的な攻撃者がすでにBMCに管理者アクセスを持っているなら…」それならもう負けだね。BMCは理想的には物理的に孤立したネットワークにあるべきだし、少なくとも外部からのルートやマシン自体からは別のネットワークにあるべきだよ。

それは言い訳だね。管理者アクセスがあっても、永久的なバックドアを埋め込むために悪用されるべきじゃないはずだよ。特権昇格のエクスプロイトがより深刻な問題になるのは本当に困る。管理者アクセスがあるからって、セキュリティの問題を無視していいわけじゃないっていうのにはうんざりしてる。ハードウェアレベルで管理者アカウントでも変更できないことがあるべきだし、もしできるなら、将来的に別の管理者が元に戻せるようにすべきだよ。 > BMCは理想的には物理的に隔離されたネットワークにあるべきだし、少なくとも外部からのルートがない別のネットワークに接続されるべきだよ。これは良いプラクティスだけど、ハードウェアレベルでのセキュリティの甘さを許す理由にはならない。Supermicroのマザーボードは、BMCインターフェースにケーブルを接続しないと、BMCネットワークインターフェースがメインNICの一つに結びつく機能がデフォルトであることが多いんだ。BMCのNICポートにケーブルを全く接続していないために、BMCがメインネットワークにさらされていることに驚く人が多いのはよくあることだよ。

Hacker Newsで議論の続きを見る