Güvenlik araştırmacıları, Supermicro tarafından üretilen sunucu anakartlarında ciddi güvenlik açıkları tespit etti. Bu açıklar, saldırganların işletim sistemi başlamadan önce çalışan ve sistemin derinliklerine nüfuz eden, tespit edilmesi ve kaldırılması neredeyse imkansız kötü amaçlı yazılımları uzaktan yüklemesine olanak tanıyor. Bu durum, sunucuların güvenliği için ciddi bir tehdit oluşturuyor.
Araştırma firması Binarly tarafından ortaya çıkarılan iki önemli güvenlik açığından biri, Supermicro'nun Ocak ayında yayımladığı yamada bulunan bir eksiklikten kaynaklanıyor. Bu yamanın amacı, bir sunucunun başlangıç sürecinde çalışan firmware'i kötü amaçlı yazılımlarla değiştirmeye imkan tanıyan yüksek riskli bir açığı kapatmaktı. Ancak Binarly, aynı tür saldırıya olanak tanıyan ikinci kritik bir güvenlik açığını da keşfetti.
"Eşsiz Kalıcılık Gücü"
Bu tür güvenlik açıkları, 2021'de keşfedilen ve HP Enterprise sunucularını kalıcı olarak veri kaybına yol açan zararlı firmware ile enfekte eden ILObleed gibi kötücül yazılımların yüklenmesinde kullanılabilir. Olayda, yöneticiler işletim sistemini yeniden kursa, sabit diskleri değiştirse veya diğer yaygın temizleme yöntemlerini denese bile, ILObleed sunucuda kalmaya devam ediyor ve veri silme saldırısını yeniden başlatabiliyordu. Saldırganların kullandığı yöntem, HP tarafından dört yıl önce yamalanmış olmasına rağmen etkilenen cihazlarda güncellenmemişti.
Binarly kurucusu ve CEO'su Alex Matrosov, keşfettikleri iki yeni güvenlik açığının, özellikle yapay zeka veri merkezlerindeki geniş Supermicro cihaz filolarında daha önce görülmemiş bir kalıcılık gücü sağladığını belirtiyor. Matrosov, ilk açığı yamaladıktan sonra, saldırı yüzeyinin geri kalanını incelediklerinde daha da ciddi güvenlik sorunları bulduklarını ifade ediyor.
CVE-2025-7937 ve CVE-2025-6198 olarak adlandırılan bu yeni güvenlik açıkları, veri merkezlerindeki sunucularda çalışan Supermicro anakartlarına lehimlenmiş silikon yongaların içinde bulunuyor. Anakart yönetim denetleyicileri (BMC), yöneticilerin güncellemeleri yükleme, donanım sıcaklıklarını izleme ve fan hızlarını ayarlama gibi görevleri uzaktan gerçekleştirmesine olanak tanıyor. BMC'ler ayrıca, sunucu işletim sistemini başlatan UEFI (Unified Extensible Firmware Interface) firmware'ini yeniden yüklemek gibi en hassas işlemleri de mümkün kılıyor. Bu yetenekler, sunucular kapalıyken bile erişilebilir durumda.
BMC'lerin bu olağanüstü yetenekleri göz önüne alındığında, üretici tarafından onaylanmış ve güvenli olduğu doğrulanan firmware'in dijital imzalarını kontrol ederek yetkisiz değişiklikleri engelleyen korumalara sahip olmaları gerekiyor. Binarly'nin keşfettiği güvenlik açıkları, saldırganların bu tür saldırıları tespit eden ve engelleyen mekanizmaları devre dışı bırakarak, güvenli firmware'i kötü amaçlı olanlarla değiştirmesine imkan tanıyor.
Bu tür saldırılarda, saldırganın öncelikle BMC'nin kontrolünü ele geçirmesi gerekiyor. Binarly'nin geçen yıl yayımladığı blog yazıları, bu tür bir kontrolün nasıl sağlanabileceğini açıklayan güvenlik açıklarını detaylandırıyor.
Matrosov'a göre, CVE-2025-7937, Nvidia tarafından geçen yıl keşfedilen CVE-2024-10237 açığı için tamamlanmamış bir düzeltmenin sonucu. Bu açık ise, Supermicro BMC üzerinden yüklendikten sonra firmware görüntüsünü doğrulama mantığındaki bir hatadan kaynaklanıyor. Görüntü, anakart üzerinde lehimli ayrı bir çipte (özellikle Serial Peripheral Interface) depolanan UEFI firmware'ini içeriyor.
Nvidia'nın keşfine yanıt olarak Supermicro'nun Ocak ayında çıkardığı yamayı analiz eden Matrosov, açığın daha güçlü etkilere sahip ek yollarla istismar edilebileceğini tespit etti. Kısaca, CVE-2024-10237'nin istismarı, bellek konumlarını, imzaları ve firmware doğrulama için kritik öneme sahip diğer verileri depolayan fwmap tablosuna özel girişler eklemeyi içeriyordu. Ocak ayındaki yama, Nvidia'nın PoC'sinde kullanılan belirli bellek ofsetlerindeki yeni girişlerin eklenmesini engelleyen iki yeni fonksiyon eklemişti. Binarly, aynı açığın farklı bir ofsette hala istismar edilebileceğini ortaya çıkardı.
Binarly'nin yaptığı açıklamaya göre, "Bu tek bir öğe, görüntünün tüm imzalanmış bölgelerini ardı ardına içerecektir. Exploit'imizi kullanışlı hale getirmek için, orijinal önyükleyici kod için ayrılan alanı özel içerikle değiştirebiliriz."
Supermicro, güvenlik açıklarını gidermek için BMC firmware'ini güncellediğini bildirdi. Şirket şu anda etkilenen ürünleri test ediyor ve doğruluyor. Firma ayrıca müşterilerine "çözüm için sürüm notlarını kontrol etmelerini" tavsiye etti. Ancak güncellemenin mevcut durumu hakkında henüz bilgi bulunmuyor.
Matrosov, "Yamalı firmware güncellemelerini sitelerinde bulamıyoruz. Bu hatanın düzeltilmesi zor. Sanırım bu onlar için daha fazla zaman alacaktır." şeklinde konuştu.
