El Parche de Supermicro Falló, Dejando los Servidores Expuestos a Ataques a Nivel de Firmware

Las investigadoras de seguridad han identificado vulnerabilidades críticas en las placas base de Supermicro, permitiendo a los hackers incrustar malware que permanece activo incluso después de reiniciar el sistema, así como de la limpieza del sistema.

Los controladores de gestión de la placa base (BMCs, por sus siglas en inglés) ubicados en las placas madre de los servidores contienen estas fallas de seguridad, ya que sus diminutos chips permiten a los administradores gestionar las máquinas de forma remota, incluso cuando están apagadas.

Este problema, reportado por primera vez por ArsTecnica, se centra en Supermicro, una empresa estadounidense que fabrica servidores, placas base y sistemas de almacenamiento que alimentan centros de datos, computación en la nube e IA. Su hardware soporta la computación a gran escala para empresas, investigadores y compañías tecnológicas en todo el mundo.

ArsTechnica señala que la firma de seguridad Binarly descubrió dos nuevas vulnerabilidades en el parche de enero CVE-2024-10237 de Supermicro, que dejó una solución incompleta. La empresa descubrió un defecto de seguridad adicional que se conecta con el problema previamente identificado.

Los dos nuevos defectos existen como CVE-2025-7937 y CVE-2025-6198, y afectan al almacenamiento del firmware, que está permanentemente unido a la placa base.

Los investigadores compararon la gravedad de estas vulnerabilidades con el ataque ILObleed de 2021, que permitía a los atacantes modificar el firmware del servidor, mientras también lo hacía resistente a los borrados de disco duro y a las reinstalaciones del sistema operativo. Los investigadores identifican esta amenaza como de “Persistencia sin precedentes,” según informó ArsTechnica.

Como dijo Alex Matrosov, fundador y CEO de Binarly: “Ambos problemas proporcionan una capacidad de persistencia sin precedentes en importantes flotas de dispositivos Supermicro, incluyendo [en] los centros de datos de IA”, informa ArsTechnica.

Añadió: “Después de que parchearon [la vulnerabilidad anterior], examinamos el resto de la superficie de ataque y encontramos problemas de seguridad aún peores.”

La principal amenaza de seguridad surge de los mecanismos de verificación de firmas BMC, los cuales los atacantes pueden deshabilitar para reemplazar imágenes de firmware sin detección. Binarly proporciona información detallada sobre el vector de ataque que muestra que un atacante necesita acceso administrativo a BMC para ejecutar el reflasheo persistente del firmware.

“Si un posible atacante ya tiene acceso administrativo a la interfaz de control de BMC (es posible mediante la explotación de otras vulnerabilidades, que describimos en los blogs 1, 2), entonces la explotación es trivial, solo necesitamos realizar una actualización con una imagen maliciosa. En este caso, un atacante se beneficia de la explotación de CVE-2025-7937/CVE-2025-6198 porque el compromiso se vuelve persistente”, dijo Binarly, según lo informado por ArsTechnica.

Binarly describió cómo los atacantes pueden alterar la tabla fwmap para que las regiones firmadas sean reemplazadas. “Este único elemento contendrá todas las regiones firmadas de la imagen, una tras otra”, escribió la compañía. Supermicro dice que ha lanzado actualizaciones de BMC para mitigar las fallas y está probando los productos afectados. “No podemos encontrar las actualizaciones de firmware parcheadas en su sitio web”, dijo Matrasov, según informó ArsTechnica.

“El error es difícil de solucionar. Supongo que les llevará más tiempo”, concluyó Matrasov.