كشف باحثو الأمن السيبراني عن ثغرتين تؤثران على برمجيات Baseboard Management Controller (BMC) في منظومات Supermicro، يمكن استغلالهما لتحييد خطوات التحقق الحرجة وتمرير صورة (firmware) مُحسّنة خصيصًا تسمح للمهاجمين بتثبيت برنامج خبيث دائم على شريحة BMC.
ملخص الثغرات وطبيعتها التقنية
الثغرتان من درجة خطورة متوسطة وتنتج كلتاهما عن التحقق غير السليم للتوقيع التشفيري داخل منطق التحقق من صورة الـ firmware:
-
CVE-2025-7937 (CVSS 6.6) — تسمح صورة مُنمَّقة بإحباط منطق التحقق الخاص بـ Root of Trust (RoT) 1.0 عبر توجيه البرنامج إلى جدول “fwmap” مزيف موجود في منطقة غير موقعة، ما يؤدي إلى تحديث الـ firmware بصورة غير مصدقة.
-
CVE-2025-6198 (CVSS 6.4) — تسمح صورة مُعدَّلة بتجاوز منطق التحقق الخاص بـ Signing Table عن طريق إعادة توجيه التنفيذ إلى جدول توقيع (“sig_table”) مزور في المنطقة غير الموقعة.
عملية التحقق أثناء تحديث الـ firmware تمر بثلاث خطوات: استرداد المفتاح العام من شريحة SPI الخاصة بالـ BMC، معالجة جدول “fwmap” أو “sig_table” المضمن في الصورة، ثم حساب هاش تشفيرِي لمناطق الـ firmware الموقعة ومقارنة التوقيع مع قيمة الهاش المحسوبة. فشل التحقق الصحيح في أيٍ من هذه المراحل يفتح نافذة استغلالية لإعادة تفليش شريحة الـ SPI بصورة خبيثة.
الاكتشافات السابقة وتكرار المسألة وخطورة تسريب المفاتيح
شركة Binarly الأمنية نسبت الاكتشاف وأوصت بأن CVE-2025-7937 يمثل تجاوزًا لإصلاح سابق (CVE-2024-10237) الذي عالجته Supermicro في يناير 2025؛ وقد أظهرت التحقيقات أن التصحيحات السابقة لم تقطع كل مسارات الهجوم. كما تتضمن سلسلة المشكلات السابقة أخطاء تكدس (stack overflows) أخرى كانت السبب في CVE-2024-10238 وCVE-2024-10239.
تحليلات Binarly أوضحت أن المهاجمين يستطيعون إدراج جداول مخصصة داخل الصورة المرفوعة (مثل fwmap أو sig_table) ونقل المحتوى الأصلي الموقع إلى مساحة غير مُدرجة في الحساب، بحيث يظل الهـاش المحسوب مطابقًا للقيمة الموقعة، رغم تعديل الصورة—وبذلك يُلغى فعليًا دور التحقق. في حالة CVE-2025-6198، توضّح أن المسار الهجومي ينجح في تجاوز RoT الخاص بالـ BMC؛ وهو ما يرفع مستوى الخطورة بشكل كبير خصوصًا في حال تسرّب مفاتيح التوقيع.
خبيرو Binarly وحلولهم التحليلية يحذّرون من إعادة استخدام مفاتيح التوقيع عبر خطوط منتجات متعددة، ويُوصون بتدوير المفاتيح على مستوى خطوط الإنتاج. استنادًا إلى حوادث سابقة مثل PKfail وتسريبات مفاتيح Intel Boot Guard، إعادة استخدام مفاتيح التوقيع قد تُفضي إلى أثر صناعي واسع النطاق إذا تم كشفها.
تبعات الاختراق وكيفية الاستغلال العملي
استغلال هذه الثغرات قد يمنح المهاجمين سيطرة كاملة ودائمة على BMC والجهاز المضيف، بما في ذلك القدرة على: تنفيذ أوامر ضمن سياق SYSTEM، الحفاظ على وجود مخفي (persistence) خارج نطاق نظام التشغيل الرئيسي، زرع web shells أو backdoors، وسرقة/تعديل بيانات حساسة أو القدرة على تعطيل الخوادم. تميّز هذا النوع من الاختراق بأنه قد يتجاوز آليات الحماية التقليدية على مستوى نظام التشغيل لأنه يحدث في طبقة الإدارة خارج نطاق OS العادي.
توصيات فنية وخلفية تنفيذية للحد من الخطر
-
على مشغّلي أنظمة Supermicro التحقق فورًا من إصدارات الـ BMC واللوحات الأم ذات الصلة وتطبيق أي تحديثات وhotfixes تصدرها الشركة.
-
اعتماد ممارسات إدارة مفاتيح صارمة: تدوير مفاتيح التوقيع على مستوى خط المنتج، وعدم إعادة استخدام نفس مفتاح التوقيع عبر عدة طرازات.
-
تمكين آليات التحقق المتعددة الطبقات (defense-in-depth) التي تشمل مراقبة تكامل الـ firmware، تنفيذ فحوص توقيع محليّة مستقلة، وتدقيق تغييرات شريحة SPI.
-
مراقبة سلوك BMC لاكتشاف أنشطة شاذة (اتصالات C2، تنفيذ أوامر غير متوقعة، أو عمليات reflashing) والاحتفاظ بسجلات Forensic مفصّلة.
-
فحص سلسلة التوريد: التأكد من مصادر الصور والـ images المسموح بها، وتقييد آليات الوصول إلى أدوات التفليش والتحديث (sandboxing، مصادقة مُشددة للعمليات اليدوية).
