Материнские платы серверов Supermicro оказались заражены неудаляемым вредоносным ПО

Серверы, работающие на материнских платах Supermicro, оказались подвержены уязвимостям высокого уровня опасности, которые позволяют хакерам удалённо устанавливать вредоносную прошивку до загрузки операционной системы. Это мешает обнаружить заражение и удалить вредонос с применением стандартных мер защиты.

Одна из двух уязвимостей стала результатом неполного патча, выпущенного Supermicro в январе. Об этом сообщил основатель и генеральный директор Binarly Алекс Матросов. По его словам, исправление предназначалось для CVE-2024-10237 — уязвимости высокого уровня опасности, которая позволяла злоумышленникам модифицировать прошивку, работающую во время загрузки компьютера. 

Затем Binarly обнаружила вторую критическую уязвимость, позволяющую проводить атаки такого же типа.

Обе они могут использоваться для установки прошивки, аналогичной ILObleed — вредоносному коду, который заражал серверы HP Enterprise прошивкой-очистителем, безвозвратно уничтожающей данные на жёстких дисках. Даже после того, как администраторы переустанавливали операционную систему, меняли жёсткие диски или предпринимали другие меры, ILObleed снова активировал атаку с очисткой диска. Эксплойт, использованный злоумышленниками в этой кампании, был исправлен HP четырьмя годами ранее, но не был установлен на скомпрометированных устройствах.

«Обе уязвимости обеспечивают беспрецедентную устойчивость на значительных парках устройств Supermicro, в том числе в центрах обработки данных с искусственным интеллектом», — пояснил Матросов. 

После выпуска патча в Binarly изучили остальную часть поверхности атаки и обнаружили ещё более серьёзные проблемы безопасности. Обозначенные как CVE-2025-7937 и CVE-2025-6198, они находятся внутри кремниевых чипов, припаянных к материнским