多年补丁难及终端，固件漏洞持续困扰供应链

发布于2025年7月21日2025年7月22日作者:cve-20

原文链接: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649788823&idx=1&sn=2b397642630b9a70a1623898b1607955

多年补丁难及终端，固件漏洞持续困扰供应链

安全客 2025-07-21 07:29

近日，主板厂商技嘉（Gigabyte）发布公告称，其部分基于英特尔旧平台的主板中存在四个固件漏洞，影响范围涉及系统管理模式（System Management Mode, SMM）模块
。相关漏洞可能允许具备本地访问权限的攻击者在固件层获取高权限控制，从而绕过如UEFI Secure Boot等底层安全机制，实现对系统的持久控制。

值得注意的是，这四个漏洞源自独立BIOS供应商AMI提供的固件组件，其补丁早在数年前已发布。由于未通过公开渠道广泛同步，相关修复并未覆盖所有OEM厂商。此次技嘉披露的漏洞，即为其中仍在流通的未更新版本
。

该漏洞由固件安全公司Binarly发现，并由卡内基梅隆大学软件工程研究所下属的CERT/CC发布技术报告进行确认。

固件层漏洞持续暴露

近年来，针对主板固件层的安全研究显著增加。一方面，自动化分析工具和固件逆向技术
不断进步；另一方面，分析主板芯片与内存的专业硬件设备成本
大幅下降。这一背景促使安全公司持续在固件及SMM模块中发现新的安全问题。

Binarly近期曾披露戴尔设备中的类似漏洞，并计划在下月公布针对联想产品的相关研究发现。ESET也先后公开了名为 Bootkitty（针对Linux平台）和 BlackLotus（针对Windows平台）的UEFI bootkit攻击样本
。

Cobalt公司首席技术官 Gunter Ollmann 指出，相较于日益成熟的操作系统层安全更新机制，固件仍是许多攻击者青睐的“低可见性”目标
。随着分析工具获取门槛的降低，固件层逐渐成为研究者和攻击者共同关注的焦点。

UEFI固件日趋复杂

ESET研究员 Martin Smolár 指出，当前UEFI固件的复杂度已接近操作系统，通常包含数百万行代码，内建完整的USB和网络协议栈，部分产品甚至集成AI辅助功能
。Binarly首席执行官 Alex Matrosov 同样指出，现代固件已演变为具备“实时操作系统”特征的复杂软件组件，对安全管理的要求远高于传统BIOS。

固件复杂性的提升意味着：漏洞出现的可能性增加，而修复和验证过程也更依赖自动化工具与流程化治理。

补丁已发布，何以“未能落地”？

此次技嘉固件漏洞的关键问题不在于漏洞发现难度，而在于补丁未能在整个供应链中有效分发与部署
。CERT/CC在报告中指出，AMI早在数年前已修复上述问题，但由于补丁通过私下渠道发布，部分OEM厂商因未签署相关协议，未能获得更新
，从而导致旧版固件继续在终端产品中使用。

这一现象并非个例。部分独立BIOS厂商因商业限制，采用非公开更新机制
；而一些主板制造商本身不具备完整的固件源代码，只能基于上游提供的二进制文件进行集成和维护
。一旦更新信息未能同步，或缺乏主动检测机制，终端产品在多年后仍可能暴露于已知风险之中
。

安全风险与应对建议

固件层的安全问题往往难以被传统安全工具发现。

目前可行的检测方法包括：

在操作系统中提取并分析UEFI固件镜像；

使用硬件编程器读取主板芯片中的实际固件数据，
并与可信基线版本比对。

一旦确认固件被篡改，最可靠的修复方式是使用硬件工具将其刷新为已验证版本
。虽然过程复杂，但在具备相应能力的环境中仍具备可行性。

包括Binarly、ESET在内的多家安全厂商指出，当前固件安全的改进方向不应仅限于技术加固
，还需从以下维度系统性推进：

加强固件开发阶段的安全编码培训；

推动BIOS厂商采用公开透明的漏洞通报与补丁发布机制
；

强化加密密钥管理体系
；

默认启用关键安全功能
，并降低配置安全性对人工干预的依赖。

随着主板架构持续演进，外设数量与复杂度不断增加，固件层将始终是动态演化的风险面
。提升自动化检测能力，规范跨厂商协同机制，
将是未来构建底层硬件可信体系的关键方向。

消息来源：

https://www.darkreading.com/vulnerabilities-threats/firmware-vulnerabilities-plague-supply-chain

多年补丁难及终端，固件漏洞持续困扰供应链

多年补丁难及终端，固件漏洞持续困扰供应链

近期文章

近期评论

归档

分类