Supermicro Server'ın Madri ve Veri Merkezi savunmasızdır. Başarılı saldırılardan sonra, saldırganlar arkadaki bir kapıya kalıcı olarak erişebilir. Yöneticiler isteklerini derhal garanti etmelidir.
Eksik yama
Bir katkıdan görülebileceği gibi, binarly güvenlik araştırmacıları iki güvenlik boşluğunda (CVE 2025-7937 “yüksek“, CVE 2025-6198”yüksek“). Her iki durumda da, temel yönetim denetleyicisinin (BMC) saldırganları, kötülük kodu ile hazırlanan ürün yazılımı görüntülerini atlayabilir ve yükleyebilir. Bu nedenle sistemler tamamen tehlikeye atılır.
Supermicro, zayıf noktaları, ilgilenen anneleri ve güvenlik güncellemelerini bir uyarı mesajında listeler. Makalede, henüz devam eden herhangi bir saldırı kanıtı keşfetmediğinden emin olun.
İlk boşluk zayıf bir noktaya gider (CVE 2025-10237 “yüksek“) Bu yılın başından beri. Güvenlik araştırmacılarının dediği gibi, güvenlik yaması eksikti ve korumayı önleyebildiler. İkinci zayıf noktayı yeniden keşfettiler.
Arka plan
FirmwareImages'ın kontrol edilmesindeki hatalar nedeniyle, güvenlik kontrollerini etkilemeden görüntülere zararlı kod sağlamak hala mümkündür. Güvenlik araştırmacılarına göre, BMC manipüle edilmiş görüntüler sınıflandırır ve doğrulayın ve doğru şekilde yükler.
Yeni boşluğu başarılı bir şekilde kullanan saldırganlar, BMC'nin güven (kırmızı) güvenlik işlevini de atlayabilir. Başlatıldığında, bu, ürün yazılımının meşru olup olmadığını kontrol eder. Güvenlik araştırmacıları, bir katkıda nasıl ayrıntılı olarak çalıştığını sağlar.
(DES)
Bir yanıt yazın