Supermicro

Pesquisadores de cibersegurança revelaram duas vulnerabilidades no firmware do Baseboard Management Controller (BMC) da Supermicro, que podem permitir que atacantes contornem etapas de verificação essenciais e atualizem o sistema com imagens maliciosas. As falhas, identificadas como CVE-2025-7937 e CVE-2025-6198, têm severidade média, com pontuações CVSS de 6.6 e 6.4, respectivamente. Ambas resultam de uma verificação inadequada da assinatura criptográfica, permitindo que imagens de firmware manipuladas sejam aceitas pelo sistema. A vulnerabilidade CVE-2025-7937 contorna a lógica de verificação do Root of Trust (RoT) 1.0, enquanto a CVE-2025-6198 faz o mesmo em relação à tabela de assinatura. A empresa Binarly, responsável pela descoberta, alertou que a exploração dessas falhas pode dar controle total e persistente sobre o sistema BMC e o sistema operacional principal do servidor. A análise também destacou que a correção anterior para uma vulnerabilidade relacionada foi insuficiente, permitindo que atacantes inserissem tabelas de firmware personalizadas durante o processo de validação. A situação é preocupante, pois a reutilização de chaves de assinatura pode ter um impacto significativo em toda a indústria, especialmente se houver vazamento dessas chaves.