Selon BleepingComputer, deux vulnérabilités affectent le firmware des matériels Supermicro, y compris les Baseboard Management Controller (BMC), et permettent à des attaquants de mettre à jour les systèmes avec des images malicieusement forgées.
Les experts de la société de sécurité des micrologiciels Binarly ont découvert un contournement d’une faille (CVE-2024-10237) que Supermicro a corrigée en janvier dernier, ainsi qu’une autre vulnérabilité identifiée sous le nom de CVE-2025-6198.
De nouvelles vulnérabilités critiques ont été découvertes dans le firmware des serveurs Supermicro, touchant directement le Baseboard Management Controller (BMC), un composant essentiel permettant la gestion et la surveillance à distance, même lorsque le serveur est éteint. Selon les chercheurs de Binarly, ces failles, identifiées comme CVE-2024-10237, CVE-2025-6198 et CVE-2025-7937, permettent à un attaquant d’installer un firmware malveillant qui reste actif malgré les redémarrages ou réinstallations du système d’exploitation, ouvrant la voie à des backdoors persistantes.
Ces attaques sont particulièrement dangereuses car elles contournent aussi des mécanismes de sécurité cruciaux comme le Root of Trust (RoT), censé garantir l’intégrité du firmware. En manipulant les tables internes (fwmap) ou en profitant de validations logiques défectueuses, un cybercriminel peut faire accepter par le système une image falsifiée tout en passant les vérifications de signature, ce qui lui offre un contrôle total sur le BMC et le serveur principal.
Face à ce risque, Supermicro a publié de nouveaux correctifs de sécurité et recommande une mise à jour immédiate des firmwares concernés. Comme Binarly a mis à disposition des preuves de concept exploitables, les administrateurs systèmes doivent agir rapidement afin de prévenir tout risque de compromission durable de leur infrastructure.
Points clés:
- Nature: deux vulnérabilités de firmware.
- Produits concernés: matériels Supermicro, incluant les BMC.
- Impact: possibilité d’installer/mettre à jour des systèmes avec des images malveillantes.
Type d’article: vulnérabilité — l’objectif est d’informer sur des failles permettant des mises à jour firmware malveillantes sur du matériel Supermicro.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-supermicro-bmc-flaws-can-create-persistent-backdoors/