自動韌體分析工具和檢查電腦處理器和記憶體所需的技術硬體成本的下降,導致韌體漏洞和主機板安全漏洞報告激增。最新的例子是,主機板製造商技嘉於7月10日披露,其平台中仍然存在四個韌體漏洞,儘管最初的問題(存在於獨立BIOS供應商AMI提供的韌體中)多年前就已修復。技嘉在揭露中表示,這些問題影響了舊款英特爾處理器系統上的系統管理模式(SMM)模組。
一、背景概述
2025年7月18日,DarkReading 報導指出,主機板製造商 Gigabyte 公開其多款 Intel 架構板卡中存在多項重要韌體漏洞 (System Management Mode, SMM),某些問題源自獨立 BIOS 廠商 AMI 的過期修補程式,且已被修補多年,但仍持續影響多代產品 。
研究機構 Binarly 也發現 Dell、Lenovo 等主機板中存在類似漏洞,包括 UEFI Secure Boot 的繞過手法與潛在特權提升攻擊,同樣演示了製造供應鏈中韌體層面風險的普遍性 。
二、韌體漏洞技術剖析
1. SMM 特權提升與程式碼執行:在 Intel 平台中,SMM 模式擁有最高特權。Gigabyte 主機板上的 SMM 模組漏洞,允許擁有本機管理員權限的攻擊者直接執行惡意程式碼,提高至最高系統控制權。
2. UEFI Secure Boot 繞過:Binarly 的研究指出某些 Dell 設備可被繞過 Secure Boot 機制,使未簽名或惡意的引導程式可藉此執行,並於一鍵重啟即實現持久化與深度滲透。
3. 修補管理落後與版本殘留:重要韌體缺陷早已在 AMI 層面修復,但 Gigabyte 等 OEM 未能同步更新,導致大量「殘效漏洞」存在於流通設備中,影響多個世代的產品 。
4. 廠商內部流程疏失:漏洞的持續存在反映出供應商於韌體構建與更新流程缺乏嚴格控管,可能未執行全面的 firmware SCA(Software Composition Analysis)與簽章驗證機制。
三、威脅影響與應用場景
高度持久滲透 (Persistent Implant):攻擊者能將惡意植入直接寫入韌體,重灌系統無效,攻擊可長期潛伏、難以偵測。
橫向移動擴散能力強:單一被入侵設備即可成為內部攻擊跳板,用於掃描、攻擊其他伺服器或工作站。
資安邊界失效:即使 OS、應用層已完全保護,韌體層持續暴露意味整體系統仍處危險之中。
- 供應鏈信任全面崩壞:與 BIOS/UEFI 供應鏈標準相關漏洞,可能影響主機板製造商、硬體廠商,並擴及整個 IT 生態與供應界限。
四、防禦對策建議
1. 強化韌體更新流程
2. 韌體完整性監控 (Firmware Integrity Monitoring)
3. 強化 SMM 層級保護
4. 供應鏈安全治理
5. 應急處置與滲透測試
五、後續展望與重要建議
供應鏈軟硬整合:未來攻防高度依賴於韌體和硬件間的信任連結,企業應納入軟體供應鏈安全防禦邏輯。
利用自動化掃描工具:如 Binarly、Eclypsium 等持續更新 CVE 的韌體漏洞資料庫,快速獲知影響設備與修補方式。
Regulatory 驅動效應:北美與歐盟對固件安全已提出立法要求,建議企業儘速納入治理架構。
- 教育資安團隊:除 IT,研發與硬體管理團隊應了解韌體攻擊特質,掌握如何偵測與防範。
Gigabyte 與其他大廠未及時修補韌體缺陷,讓目標客戶暴露於高特權攻擊風險中,凸顯供應鏈韌體安全滯後。韌體是整體安全體系中最脆弱且影響最大的層級,不但影響單位設備,也關聯整體 IT 生態。建議企業立即展開:
韌體資產盤點與風險評估;
建立韌體更新與完整性防護流程;
加強供應商合約與 Compliance 要求;
演練與檢測韌體攻擊威脅面。
資料來源:https://www.darkreading.com/vulnerabilities-threats/firmware-vulnerabilities-plague-supply-chain/