![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Setzt jemand Rechner mit Boards von Supermicro\u00a0 (speziell im Server-Bereich verbreitet) ein? In der Firmware des auf den Board verwendeten BMC wurden im Januar 2025 zwar Schwachstellen gefixt. Diese erm\u00f6glichten Angreifern potentiell eine persistente Backdoor auf den betreffenden Systemen einzurichten. Nun haben Experten von Binarly festgestellt, dass die gefixten Supermicro BMC-Schwachstellen sich umgehen lassen.<\/p>\n
<\/p>\n
Der nachfolgend benutzte Begriff BMC steht f\u00fcr Baseboard Management Controller<\/a>, ein Mikrokontroller, der auf vielen Mainboards von Computersystemen verbaut ist. Er stellt die Schnittstelle zwischen der Software zum Systemmanagement und der Hardware her. Der BMC sammelt \u00fcber Sensoren Daten wie Temperatur, L\u00fcfterdrehzahl, OS-Status etc. und kann Administratoren auch Alarmmeldungen \u00fcbermitteln.<\/p>\n Die Kollegen von Bleeping Computer berichten in diesem Artikel<\/a> von neuen Schwachstellen in der Supermicro BMC-Firmware. Gleich zwei Schwachstellen in der Firmware von Supermicro-Hardware, darunter der Baseboard Management Controller (BMC), erm\u00f6glichen es Angreifern, Systeme mit b\u00f6swillig erstellten Images zu aktualisieren, hei\u00dft es.<\/p>\n Experten des auf Firmware-Sicherheits spezialisierten Unternehmens Binarly haben eine Umgehungsm\u00f6glichkeit<\/a> f\u00fcr die Schwachstelle CVE-2024-10237<\/a> in der BMC-Firmware des Supermicro MBD-X12DPG-OA6 entdeckt. Diese Schwachstelle, die einen unautorisierten Austausch der Firmware erm\u00f6glichte, wurde zwar im Januar 2024, zusammen mit der Schwachstelle CVE-2025-6198<\/a> in der BMC-Firmware des\u00a0Supermicro MBD-X13SEM-F gepatcht. Aber es gibt eine Umgehungsm\u00f6glichkeit, wodurch Angreifer eine eigene Firmware auf die Server aufspielen k\u00f6nnten.<\/p>\n \"Dieses Sicherheitsproblem k\u00f6nnte potenziellen Angreifern die vollst\u00e4ndige und dauerhafte Kontrolle sowohl \u00fcber das BMC-System als auch \u00fcber das Betriebssystem des Hauptservers erm\u00f6glichen\", zitiert Bleeping Computer die Experten von Binarly. Angreifer k\u00f6nnten die beiden Schwachstellen ausnutzen, um modifizierte Firmware (mit einer Backdoor) aufzuspielen.<\/p>\n CVE-2025-6198 erm\u00f6glicht laut Sicherheitsforscher auch, das BMC RoT (Root of Trust) zu umgehen. Diese Sicherheitsfunktion \u00fcberpr\u00fcft, ob das System mit legitimer Firmware startet. Von Supermicro gibt es zwar dieses Dokument<\/a>, welches Abhilfema\u00dfnahmen gegen CVE-2024-10237<\/a> beschreibt.<\/p>\n Aber Binarly hat einen Weg gefunden<\/a>, diese Ma\u00dfnahmen auszuhebeln und trotzdem modifizierte Firmware zu installieren. Details sind dem verlinkten Binarly-Dokument zu entnehmen. Dort geben die Experten auch einige Hinweise, was man zur Absicherung gegen solche Szenarien tun kann (Firmware aktualisieren, Firmware nur aus offiziellen Quellen beziehen, Systeme auditieren, etc.).<\/p>\n \u00c4hnliche Artikel:<\/strong> [English]Setzt jemand Rechner mit Boards von Supermicro\u00a0 (speziell im Server-Bereich verbreitet) ein? In der Firmware des auf den Board verwendeten BMC wurden im Januar 2025 zwar Schwachstellen gefixt. Diese erm\u00f6glichten Angreifern potentiell eine persistente Backdoor auf den betreffenden Systemen einzurichten. … Weiterlesen Supermicro (vollst\u00e4ndiger Name\u00a0Super Micro Computer<\/a>) ist ein 1993 in den USA gegr\u00fcndeter Hersteller von Computern (Server, Mainboards etc.). Supermicro-Produkte sind speziell im Server-Bereich in Rechenzentren im Einsatz.<\/p>\n
Schwachstellen in Supermicro BMC-Firmware<\/h2>\n
\nKritische AMI-BMC-Schwachstelle CVE-2024-54085 erm\u00f6glicht Server-\u00dcbernahme<\/a>
\nSchwachstellen in American Megatrends (AMI) MegaRAC Baseboard Management Controller (BMC)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"