Server-Platinen und Rechenzentrumssysteme von Supermicro sind derzeit von gravierenden Schwachstellen betroffen. Forscher haben im Baseboard Management Controller (BMC) mehrere Lücken entdeckt, über die Angreifer dauerhaft Hintertüren in Systemen verankern können. Administratoren sollten deshalb zeitnah verfügbare Sicherheitsupdates einspielen.
Die Schwachstellen ermöglichen es, die Sicherheitsprüfungen des BMC zu umgehen und manipulierte Firmware-Images einzuschleusen. Diese Prüfmechanismen sollen eigentlich verhindern, dass Schadcode ins System gelangt: Beim Laden neuer Firmware kontrolliert der BMC digitale Signaturen oder Hash-Werte, um sicherzustellen, dass das Image unverändert und autorisiert ist. Durch die Schwachstellen lassen sich diese Kontrollen jedoch umgehen, sodass selbst manipulierte Images als gültig akzeptiert und installiert werden. Ein kompromittiertes System bleibt anschließend vollständig unter der Kontrolle der Angreifer.
Eine der Lücken ist nicht neu: Bereits Anfang des Jahres wurde ein Patch für CVE-2025-10237 veröffentlicht, der sich nun als unvollständig herausgestellt hat. Die Sicherheitsforscher konnten den Schutz umgehen. Die zweite Lücke ist eine Neuentdeckung und beruht auf Fehlern bei der Validierung von Firmware-Images.
Besonders kritisch ist dabei, dass auch die sogenannte ‘Root of Trust’ ausgehebelt werden kann. Sie bildet die Grundlage der gesamten Sicherheitskette: eine unveränderliche, vertrauenswürdige Komponente, die beim Start des Systems überprüft, ob die geladene Firmware legitim ist. Normalerweise verhindert dieser Mechanismus, dass kompromittierte Software überhaupt ausgeführt wird. Wenn Angreifer jedoch die Root of Trust unterlaufen, bricht die gesamte Schutzkette zusammen – manipulierte Firmware wird wie legitime behandelt, Hintertüren lassen sich dauerhaft verankern und überstehen auch Neustarts oder Standard-Updates.
Achtung, falsche Bug ID: CVE-2025-10237 ist falsch, es war CVE-2024-10237