Motherboard server Supermicro mengandung kerentanan kritis yang memungkinkan penyerang memasang firmware berbahaya dengan persistensi yang luar biasa. Celah keamanan ini, yang ditemukan oleh Binarly, mempengaruhi sistem Baseboard Management Controller (BMC) yang menyediakan kemampuan manajemen server jarak jauh. Kerentanan ini memungkinkan penyerang menciptakan infeksi yang bertahan dari instalasi ulang sistem operasi, penggantian hard drive, dan prosedur pemulihan standar lainnya.
Penemuan ini telah memicu perdebatan sengit di komunitas teknologi tentang tantangan keamanan fundamental yang dihadapi infrastruktur server modern. Dua kerentanan baru, CVE-2025-7937 dan CVE-2025-6198, berasal dari patch yang tidak lengkap untuk celah keamanan sebelumnya. Kerentanan pertama merupakan perbaikan yang tidak memadai untuk CVE-2024-10237, yang awalnya ditemukan oleh Nvidia, sementara yang kedua membuka vektor serangan yang sepenuhnya baru.
Kerentanan yang Terdampak:
- CVE-2025-7937: Patch tidak lengkap untuk kerentanan BMC sebelumnya
- CVE-2025-6198: Kerentanan kritis baru yang memungkinkan penggantian firmware
- CVE-2024-10237: Kerentanan asli yang ditemukan oleh Nvidia (dipatch secara tidak memadai)
Masalah Persistensi Menciptakan Mimpi Buruk Pemulihan
Aspek paling mengkhawatirkan dari kerentanan ini terletak pada mekanisme persistensinya. Tidak seperti malware tradisional yang menargetkan sistem operasi atau aplikasi, serangan ini menanamkan diri dalam firmware yang dimuat sebelum sistem operasi apa pun dimulai. Ini menciptakan apa yang disebut peneliti keamanan sebagai persistensi yang belum pernah ada sebelumnya di seluruh armada server.
Diskusi komunitas mengungkapkan frustrasi yang signifikan dengan opsi pemulihan. Meskipun beberapa menyarankan bahwa firmware dapat dipulihkan melalui penggantian chip fisik atau antarmuka pemrograman khusus, kenyataan praktisnya jauh berbeda. Sebagian besar departemen IT tidak memiliki keahlian dan peralatan untuk melepas komponen dari motherboard server yang mahal. Proses ini memerlukan keterampilan khusus, membawa risiko tinggi kerusakan hardware, dan terbukti tidak praktis untuk deployment skala besar.
Catatan: BMC (Baseboard Management Controller) - Prosesor khusus yang menyediakan kemampuan manajemen jarak jauh untuk server, memungkinkan administrator memantau dan mengontrol sistem bahkan ketika sedang dimatikan.
Metode Pemulihan:
- Pelepasan chip secara fisik (memerlukan keahlian dan peralatan khusus)
- Antarmuka pemrograman JTAG (tidak umum tersedia pada papan produksi)
- Pemrograman vampire/pogo clip (ketersediaan dan efektivitas terbatas)
- Penggantian perangkat keras secara menyeluruh (pilihan paling praktis namun mahal)
Perdebatan Isolasi Jaringan Meleset dari Sasaran
Sebagian besar diskusi komunitas berfokus pada isolasi jaringan sebagai strategi pertahanan utama. Banyak yang berpendapat bahwa BMC harus beroperasi pada jaringan yang terpisah secara fisik dengan kontrol akses yang ketat. Namun, pendekatan ini menghadapi tantangan praktis yang melampaui konfigurasi jaringan sederhana.
Perilaku default Supermicro memperparah masalah secara signifikan. Tidak seperti produsen lain yang menyediakan antarmuka jaringan BMC khusus, banyak board Supermicro secara otomatis mengikat lalu lintas BMC ke antarmuka jaringan utama ketika port BMC khusus tetap tidak terpasang. Pilihan desain ini berarti bahwa bahkan isolasi jaringan yang direncanakan dengan hati-hati dapat gagal karena pemutusan kabel atau reset konfigurasi.
Komunitas menyoroti masalah kritis lainnya: bahkan dengan isolasi jaringan yang sempurna, kerentanan ini masih penting. Akses administratif yang diperoleh melalui cara lain - baik melalui serangan supply chain, ancaman orang dalam, atau pelanggaran keamanan lainnya - masih dapat mengeksploitasi celah ini untuk menciptakan infeksi persisten.
Keamanan Tingkat Hardware Memerlukan Desain yang Lebih Baik
Komunitas teknis sangat mengadvokasi perubahan fundamental dalam desain hardware server. Implementasi BMC saat ini sangat bergantung pada langkah-langkah keamanan berbasis software yang terbukti tidak memadai melawan penyerang yang bertekad. Anggota komunitas mengusulkan beberapa solusi berbasis hardware yang dapat secara signifikan meningkatkan keamanan.
Switch write-protect fisik merupakan salah satu saran yang populer. Mekanisme hardware sederhana ini dapat mencegah modifikasi firmware tanpa intervensi fisik yang eksplisit. Meskipun pendekatan ini mungkin mempersulit update rutin, ini akan memberikan perlindungan yang kuat terhadap serangan jarak jauh. Beberapa anggota komunitas mencatat bahwa mekanisme serupa ada dalam sistem komputer lama dan terbukti efektif.
Solusi lain yang diusulkan melibatkan desain dual-firmware dengan kemampuan fallback. Pendekatan ini akan mempertahankan satu image firmware yang dilindungi bersama dengan versi yang dapat diupdate, memungkinkan pemulihan dari keadaan yang terkompromi tanpa memerlukan peralatan atau keahlian khusus.
Implikasi Industri Meluas Melampaui Supermicro
Meskipun kerentanan spesifik ini mempengaruhi produk Supermicro, diskusi komunitas mengungkapkan bahwa kelemahan keamanan serupa kemungkinan ada di seluruh industri server. Kualitas firmware BMC tetap konsisten buruk di seluruh vendor, dengan sebagian besar implementasi menyerupai software sampah menurut administrator berpengalaman.
Insentif ekonomi yang mendorong situasi ini menciptakan lingkungan yang menantang untuk perbaikan. Produsen server memfokuskan sumber daya pada fungsionalitas utama daripada penguatan keamanan untuk antarmuka manajemen. Software yang dihasilkan sering mengandung banyak kerentanan, dan kualitas patch tetap tidak konsisten di seluruh industri.
Beberapa anggota komunitas menunjuk pada solusi yang muncul seperti OpenBMC, proyek firmware BMC open-source yang menjanjikan keamanan yang lebih baik melalui transparansi dan review komunitas. Namun, adopsi tetap terbatas, dan produsen besar terus mengirimkan solusi proprietary dengan praktik keamanan yang dipertanyakan.
Persyaratan Serangan:
- Akses administratif ke antarmuka BMC (dapat diperoleh melalui kerentanan lainnya)
- Kemampuan untuk mengunggah gambar firmware berbahaya
- Eksploitasi melewati mekanisme validasi tanda tangan digital
Kesimpulan
Kerentanan Supermicro ini menyoroti kelemahan fundamental dalam arsitektur keamanan server modern. Meskipun isolasi jaringan dan kontrol akses menyediakan lapisan pertahanan yang penting, mereka tidak dapat menggantikan desain hardware yang aman. Mekanisme persistensi yang dimungkinkan oleh celah ini menciptakan tantangan pemulihan yang melebihi kemampuan sebagian besar organisasi IT.
Jalan ke depan memerlukan komitmen industri untuk perbaikan keamanan tingkat hardware. Mekanisme perlindungan fisik, validasi firmware yang lebih baik, dan alternatif open-source merupakan arah yang menjanjikan. Namun, perubahan yang berarti akan memerlukan baik permintaan pelanggan maupun tekanan regulasi untuk mengatasi insentif ekonomi yang saat ini memprioritaskan fungsionalitas daripada keamanan.
Untuk organisasi yang mengoperasikan server Supermicro, langkah-langkah segera harus mencakup isolasi jaringan, pemantauan akses, dan persiapan untuk prosedur pemulihan firmware yang potensial. Namun, solusi utama terletak pada menuntut praktik keamanan yang lebih baik dari produsen hardware di seluruh industri.
Referensi: Supermicro server motherboards can be infected with unremovable malware