เมนบอร์ดเซิร์ฟเวอร์ Supermicro มีช่องโหว่ความปลอดภัยร้ายแรงที่อนุญาตให้ผู้โจมตีติดตั้งเฟิร์มแวร์ที่เป็นอันตรายด้วยความคงทนที่ไม่ธรรมดา ช่องโหว่ความปลอดภัยเหล่านี้ซึ่งค้นพบโดย Binarly ส่งผลกระทบต่อระบบ Baseboard Management Controller (BMC) ที่ให้ความสามารถในการจัดการเซิร์ฟเวอร์จากระยะไกล ช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถสร้างการติดเชื้อที่รอดพ้นการติดตั้งระบบปฏิบัติการใหม่ การเปลี่ยนฮาร์ดดิสก์ และขั้นตอนการกู้คืนมาตรฐานอื่นๆ
การค้นพบนี้ได้จุดประกายการถกเถียงอย่างเข้มข้นในชุมชนเทคโนโลยีเกี่ยวกับความท้าทายด้านความปลอดภัยพื้นฐานที่โครงสร้างพื้นฐานเซิร์ฟเวอร์สมัยใหม่กำลังเผชิญ ช่องโหว่ใหม่สองตัวคือ CVE-2025-7937 และ CVE-2025-6198 เกิดจากการแก้ไขที่ไม่สมบูรณ์ของช่องโหว่ความปลอดภัยก่อนหน้านี้ ช่องโหว่แรกแสดงถึงการแก้ไขที่ไม่เพียงพอสำหรับ CVE-2024-10237 ซึ่งค้นพบโดย Nvidia ในขณะที่ตัวที่สองเปิดเส้นทางการโจมตีใหม่ทั้งหมด
ช่องโหว่ที่ได้รับผลกระทบ:
- CVE-2025-7937: การแก้ไขที่ไม่สมบูรณ์สำหรับช่องโหว่ BMC ก่อนหน้านี้
- CVE-2025-6198: ช่องโหว่วิกฤตใหม่ที่อนุญาตให้เปลี่ยนแทนเฟิร์มแวร์ได้
- CVE-2024-10237: ช่องโหว่เดิมที่ถูกค้นพบโดย Nvidia (ได้รับการแก้ไขอย่างไม่เพียงพอ)
ปัญหาความคงทนสร้างฝันร้ายในการกู้คืน
แง่มุมที่น่ากังวลที่สุดของช่องโหว่เหล่านี้อยู่ที่กลไกความคงทนของมัน แตกต่างจากมัลแวร์แบบดั้งเดิมที่เป้าหมายระบบปฏิบัติการหรือแอปพลิเคชัน การโจมตีเหล่านี้ฝังตัวเองในเฟิร์มแวร์ที่โหลดก่อนที่ระบบปฏิบัติการใดๆ จะเริ่มทำงาน สิ่งนี้สร้างสิ่งที่นักวิจัยความปลอดภัยเรียกว่าความคงทนที่ไม่เคยมีมาก่อนในกลุ่มเซิร์ฟเวอร์
การอภิปรายของชุมชนเผยให้เห็นความผิดหวังอย่างมากกับตัวเลือกการกู้คืน ในขณะที่บางคนแนะนำว่าเฟิร์มแวร์สามารถกู้คืนได้ผ่านการเปลี่ยนชิปทางกายภาพหรืออินเทอร์เฟซการเขียนโปรแกรมเฉพาะทาง ความเป็นจริงในทางปฏิบัติแตกต่างไปจากนั้นมาก แผนก IT ส่วนใหญ่ขาดความเชี่ยวชาญและอุปกรณ์สำหรับการถอดชิ้นส่วนออกจากเมนบอร์ดเซิร์ฟเวอร์ที่มีราคาแพง กระบวนการนี้ต้องการทักษะเฉพาะทาง มีความเสี่ยงสูงต่อความเสียหายของฮาร์ดแวร์ และพิสูจน์แล้วว่าไม่เหมาะสมสำหรับการปรับใช้ขนาดใหญ่
หมายเหตุ: BMC (Baseboard Management Controller) - โปรเซสเซอร์เฉพาะทางที่ให้ความสามารถในการจัดการระยะไกลสำหรับเซิร์ฟเวอร์ ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบและควบคุมระบบได้แม้ในขณะที่ปิดเครื่องอยู่
วิธีการกู้คืน:
- การถอดชิปแบบกายภาพ (ต้องใช้ทักษะและอุปกรณ์เฉพาะทาง)
- อินเทอร์เฟซการเขียนโปรแกรม JTAG (ไม่พบได้ทั่วไปในบอร์ดที่ผลิตจำหน่าย)
- การเขียนโปรแกรมแบบ Vampire/pogo clip (มีความพร้อมใช้งานและประสิทธิภาพที่จำกัด)
- การเปลี่ยนฮาร์ดแวร์ทั้งหมด (เป็นตัวเลือกที่ปฏิบัติได้มากที่สุดแต่มีราคาแพง)
การถกเถียงเรื่องการแยกเครือข่ายพลาดประเด็น
ส่วนสำคัญของการอภิปรายของชุมชนมุ่งเน้นไปที่การแยกเครือข่ายเป็นกลยุทธ์การป้องกันหลัก หลายคนโต้แย้งว่า BMC ควรทำงานบนเครือข่ายที่แยกทางกายภาพด้วยการควบคุมการเข้าถึงที่เข้มงวด อย่างไรก็ตาม แนวทางนี้เผชิญกับความท้าทายในทางปฏิบัติที่ขยายไปเกินกว่าการกำหนดค่าเครือข่ายอย่างง่าย
พฤติกรรมเริ่มต้นของ Supermicro ทำให้ปัญหาซับซ้อนขึ้นอย่างมาก แตกต่างจากผู้ผลิตรายอื่นที่ให้อินเทอร์เฟซเครือข่าย BMC เฉพาะ เมนบอร์ด Supermicro หลายตัวจะรวมการรับส่งข้อมูล BMC เข้ากับอินเทอร์เฟซเครือข่ายหลักโดยอัตโนมัติเมื่อพอร์ต BMC เฉพาะไม่ได้เสียบสาย การเลือกออกแบบนี้หมายความว่าแม้แต่การแยกเครือข่ายที่วางแผนอย่างรอบคอบก็อาจล้มเหลวเนื่องจากการตัดการเชื่อมต่อสายเคเบิลหรือการรีเซ็ตการกำหนดค่า
ชุมชนเน้นประเด็นสำคัญอีกประการหนึ่ง: แม้จะมีการแยกเครือข่ายที่สมบูรณ์แบบ ช่องโหว่เหล่านี้ยังคงสำคัญ การเข้าถึงระดับผู้ดูแลระบบที่ได้รับผ่านวิธีอื่น ไม่ว่าจะผ่านการโจมตีห่วงโซ่อุปทาน ภัยคุกคามจากภายใน หรือการละเมิดความปลอดภัยอื่นๆ ยังคงสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อสร้างการติดเชื้อแบบถาวร
ความปลอดภัยระดับฮาร์ดแวร์ต้องการการออกแบบที่ดีกว่า
ชุมชนเทคนิคสนับสนุนอย่างแข็งขันสำหรับการเปลี่ยนแปลงพื้นฐานในการออกแบบฮาร์ดแวร์เซิร์ฟเวอร์ การใช้งาน BMC ในปัจจุบันพึ่งพาอย่างมากกับมาตรการความปลอดภัยที่ใช้ซอฟต์แวร์ซึ่งพิสูจน์แล้วว่าไม่เพียงพอต่อผู้โจมตีที่มุ่งมั่น สมาชิกชุมชนเสนอโซลูชันที่ใช้ฮาร์ดแวร์หลายตัวที่สามารถปรับปรุงความปลอดภัยได้อย่างมาก
สวิตช์ป้องกันการเขียนทางกายภาพเป็นหนึ่งในข้อเสนอแนะที่ได้รับความนิยม กลไกฮาร์ดแวร์อย่างง่ายเหล่านี้สามารถป้องกันการแก้ไขเฟิร์มแวร์โดยไม่มีการแทรกแซงทางกายภาพอย่างชัดเจน แม้ว่าแนวทางนี้อาจทำให้การอัปเดตตามปกติซับซ้อนขึ้น แต่ก็จะให้การป้องกันที่แข็งแกร่งต่อการโจมตีจากระยะไกล สมาชิกชุมชนบางคนสังเกตว่ากลไกที่คล้ายกันมีอยู่ในระบบคอมพิวเตอร์รุ่นเก่าและพิสูจน์แล้วว่ามีประสิทธิภาพ
โซลูชันที่เสนออีกตัวหนึ่งเกี่ยวข้องกับการออกแบบเฟิร์มแวร์คู่ที่มีความสามารถในการสำรอง แนวทางนี้จะรักษาอิมเมจเฟิร์มแวร์ที่ได้รับการป้องกันหนึ่งตัวควบคู่ไปกับเวอร์ชันที่อัปเดตได้ ช่วยให้สามารถกู้คืนจากสถานะที่ถูกบุกรุกโดยไม่ต้องใช้อุปกรณ์เฉพาะทางหรือความเชี่ยวชาญ
ผลกระทบทั่วทั้งอุตสาหกรรมขยายไปเกิน Supermicro
ในขณะที่ช่องโหว่เฉพาะนี้ส่งผลกระทบต่อผลิตภัณฑ์ Supermicro การอภิปรายของชุมชนเผยให้เห็นว่าจุดอ่อนด้านความปลอดภัยที่คล้ายกันน่าจะมีอยู่ทั่วทั้งอุตสาหกรรมเซิร์ฟเวอร์ คุณภาพเฟิร์มแวร์ BMC ยังคงแย่อย่างต่อเนื่องในทุกผู้ขาย โดยการใช้งานส่วนใหญ่มีลักษณะคล้ายซอฟต์แวร์ขยะตามที่ผู้ดูแลระบบที่มีประสบการณ์กล่าว
แรงจูงใจทางเศรษฐกิจที่ขับเคลื่อนสถานการณ์นี้สร้างสภาพแวดล้อมที่ท้าทายสำหรับการปรับปรุง ผู้ผลิตเซิร์ฟเวอร์มุ่งเน้นทรัพยากรไปที่ฟังก์ชันหลักมากกว่าการเสริมความแข็งแกร่งด้านความปลอดภัยสำหรับอินเทอร์เฟซการจัดการ ซอฟต์แวร์ที่เป็นผลลัพธ์มักมีช่องโหว่มากมาย และคุณภาพการแก้ไขยังคงไม่สม่ำเสมอทั่วทั้งอุตสาหกรรม
สมาชิกชุมชนบางคนชี้ไปที่โซลูชันที่เกิดขึ้นใหม่เช่น OpenBMC ซึ่งเป็นโครงการเฟิร์มแวร์ BMC โอเพ่นซอร์สที่สัญญาว่าจะมีความปลอดภัยที่ดีกว่าผ่านความโปร่งใสและการตรวจสอบของชุมชน อย่างไรก็ตาม การยอมรับยังคงจำกัด และผู้ผลิตรายใหญ่ยังคงจัดส่งโซลูชันที่เป็นกรรมสิทธิ์ด้วยแนวทางความปลอดภัยที่น่าสงสัย
ข้อกำหนดในการโจมตี:
- การเข้าถึงระดับผู้ดูแลระบบในส่วนติดต่อ BMC (สามารถได้รับผ่านช่องโหว่อื่นๆ)
- ความสามารถในการอัปโหลดไฟล์เฟิร์มแวร์ที่เป็นอันตราย
- การใช้ประโยชน์จากช่องโหว่สามารถข้ามกลไกการตรวจสอบลายเซ็นดิจิทัลได้
บทสรุป
ช่องโหว่ Supermicro เหล่านี้เน้นย้ำจุดอ่อนพื้นฐานในสถาปัตยกรรมความปลอดภัยเซิร์ฟเวอร์สมัยใหม่ ในขณะที่การแยกเครือข่ายและการควบคุมการเข้าถึงให้ชั้นการป้องกันที่สำคัญ แต่ไม่สามารถทดแทนการออกแบบฮาร์ดแวร์ที่ปลอดภัยได้ กลไกความคงทนที่เปิดใช้งานโดยช่องโหว่เหล่านี้สร้างความท้าทายในการกู้คืนที่เกินความสามารถขององค์กร IT ส่วนใหญ่
เส้นทางไปข้างหน้าต้องการความมุ่งมั่นทั่วทั้งอุตสาหกรรมในการปรับปรุงความปลอดภัยระดับฮาร์ดแวร์ กลไกการป้องกันทางกายภาพ การตรวจสอบเฟิร์มแวร์ที่ดีขึ้น และทางเลือกโอเพ่นซอร์สแสดงทิศทางที่มีแนวโน้มดี อย่างไรก็ตาม การเปลี่ยนแปลงที่มีความหมายจะต้องการทั้งความต้องการของลูกค้าและแรงกดดันจากการควบคุมเพื่อเอาชนะแรงจูงใจทางเศรษฐกิจที่ปัจจุบันให้ความสำคัญกับฟังก์ชันมากกว่าความปลอดภัย
สำหรับองค์กรที่ใช้งานเซิร์ฟเวอร์ Supermicro ขั้นตอนทันทีควรรวมถึงการแยกเครือข่าย การตรวจสอบการเข้าถึง และการเตรียมความพร้อมสำหรับขั้นตอนการกู้คืนเฟิร์มแวร์ที่อาจเกิดขึ้น อย่างไรก็ตาม โซลูชันที่แท้จริงอยู่ที่การเรียกร้องแนวทางความปลอดภัยที่ดีกว่าจากผู้ผลิตฮาร์ดแวร์ทั่วทั้งอุตสาหกรรม
อ้างอิง: Supermicro server motherboards can be infected with unremovable malware