دهها مدل از مادربوردهای گیگابایت به دلیل نقصهای امنیتی در فریمور UEFI، در برابر بدافزارهای بوتکیت (bootkit) آسیبپذیر هستند. این بدافزارها از دید سیستمعامل مخفی میمانند و حتی پس از نصب مجدد سیستمعامل نیز باقی میمانند. این آسیبپذیریها به مهاجمانی با دسترسی ادمین محلی یا از راه دور امکان اجرای کد دلخواه در حالت مدیریت سیستم (SMM) را میدهند که محیطی ایزوله از سیستمعامل با امتیازات بالاتر است.
جزئیات آسیبپذیریهای مادربوردهای گیگابایت
مکانیزمهایی که کد را در سطحی پایینتر از سیستمعامل اجرا میکنند، دسترسی سطح پایین به سختافزار دارند و در زمان بوت فعال میشوند. به همین دلیل، بدافزارهای فعال در این محیطها میتوانند دفاعهای امنیتی سنتی سیستم را دور بزنند. فریمور UEFI (رابط فریمور توسعهپذیر یکپارچه) به دلیل قابلیت Secure Boot، که با تأییدات رمزنگاری از اجرای کد ایمن و مورد اعتماد در زمان بوت اطمینان میدهد، ایمنتر تلقی میشود. با این حال، بدافزارهای سطح UEFI مانند بوتکیتها (BlackLotus، CosmicStrand، MosaicAggressor، MoonBounce، LoJax) میتوانند کد مخرب را در هر بوت مستقر کنند.
محققان شرکت امنیتی فریمور Binarly چهار آسیبپذیری را در پیادهسازیهای فریمور Gigabyte کشف کردند و یافتههای خود را با مرکز هماهنگی CERT دانشگاه Carnegie Mellon به اشتراک گذاشتند. این نقصها، که همگی امتیاز شدت بالای ۸.۲ دارند، عبارتاند از:
- CVE-2025-7029: نقص در یک کنترلکننده SMI (OverClockSmiHandler) که میتواند به افزایش سطح دسترسی به SMM منجر شود.
- CVE-2025-7028: نقص در یک کنترلکننده SMI (SmiFlash) که دسترسی خواندن/نوشتن به حافظه مدیریت سیستم (SMRAM) را فراهم میکند و میتواند به نصب بدافزار منجر شود.
- CVE-2025-7027: امکان افزایش سطح دسترسی به SMM و تغییر فریمور با نوشتن محتوای دلخواه در SMRAM.
- CVE-2025-7026: امکان نوشتن دلخواه در SMRAM، که میتواند به افزایش سطح دسترسی به SMM و به خطر افتادن دائمی فریمور منجر شود.
تأمینکننده اصلی فریمور، شرکت American Megatrends Inc. (AMI)، پس از افشای خصوصی این مشکلات، آنها را برطرف کرد؛ اما برخی از پیادهسازیهای فریمور OEM (مانند Gigabyte) در آن زمان پچها را اعمال نکردند. بر اساس برآوردها، بیش از ۲۴۰ مدل مادربورد، شامل نسخهها، واریانتها و مدلهای خاص منطقهای، با فریمورهای بهروزرسانیشده بین اواخر ۲۰۲۳ و اواسط اوت ۲۰۲۴ تحت تأثیر قرار گرفتهاند. نماینده Binarly به BleepingComputer اعلام کرد که بیش از ۱۰۰ خط تولید تحت تأثیر این نقصها هستند. محصولات دیگر فروشندگان دستگاههای سازمانی نیز تحت تأثیر قرار گرفتهاند؛ اما نام آنها تا زمان ارائه پچها افشا نشده است.
وضعیت پچها و توصیهها
Binarly در ۱۵ آوریل ۲۰۲۵ این مشکلات را به CERT/CC گزارش داد و Gigabyte در ۱۲ ژوئن ۲۰۲۵ این آسیبپذیریها را تأیید کرد و بهروزرسانیهای فریمور را منتشر کرد. در ۱۵ جولای ۲۰۲۵، Gigabyte اطلاعیهای امنیتی منتشر کرد که سه مورد از چهار آسیبپذیری کشفشده توسط Binarly را پوشش میداد.
الکس ماتروسوف، بنیانگذار و مدیرعامل Binarly، به BleepingComputer اعلام کرد که Gigabyte احتمالا هنوز پچها را منتشر نکرده است و بسیاری از دستگاههای تحت تأثیر، که به وضعیت پایان عمر (end-of-life) رسیدهاند، احتمالا برای همیشه آسیبپذیر باقی خواهند ماند. او توضیح داد که این چهار آسیبپذیری از کد مرجع AMI منشأ گرفتهاند و AMI این نقصها را تنها برای مشتریان پولی تحت قرارداد محرمانگی (NDA) افشا کرده بود، که باعث شده فروشندگان پاییندستی مانند Gigabyte سالها آسیبپذیر و بدون پچ باقی بمانند. کامپیوترهایی که از مادربوردهای Gigabyte در برندهای مختلف OEM استفاده میکنند ممکن است آسیبپذیر باشند، بنابراین به کاربران توصیه میشود بهروزرسانیهای فریمور را نظارت کرده و فورا اعمال کنند.
