기가바이트 마더보드, 은밀한 악성코드 위협에 노출

보안 연구원들이 수백 개의 기가바이트 마더보드 펌웨어에서 공격자가 운영 체제 재설치 후에도 생존하고 전통적인 보안 도구를 회피할 수 있는 악성코드를 은밀하게 설치할 수 있는 네 가지 심각한 취약점을 발견했습니다.

이 네 가지 고위험 취약점은 펌웨어 보안 회사인 비날리(Binarly)의 연구원들에 의해 발견되었으며, 카네기 멜론 대학교의 CERT 조정 센터(CERT/CC)와 협력하여 이 문제를 공개했습니다. 이러한 결함은 저수준 시스템 작업을 처리하도록 설계된 CPU의 초특권 부분인 통합 확장 펌웨어 인터페이스(UEFI) 펌웨어의 시스템 관리 모드(SMM)에 영향을 미칩니다.

이 버그를 악용하면 관리 권한이 있는 공격자가 보호된 메모리에 쓰기를 할 수 있어, 운영 체제가 재설치되거나 하드 드라이브가 교체된 후에도 활성 상태를 유지하는 은밀한 “부트킷”을 가능하게 합니다.

240개 이상의 마더보드 모델에 영향

비날리에 따르면, 소비자, 게임 및 중소기업(SMB) 제품 클래스 보드를 포함하여 240개 이상의 기가바이트 마더보드 모델이 영향을 받습니다. 이들 중 많은 모델은 H110, B150 및 X150/X170과 같은 구형 인텔 칩셋을 사용합니다.

네 가지 취약점은 각각 CVSS에서 8.2의 심각도 점수를 받았으며(“높음”으로 분류됨), 시스템 관리 인터럽트(SMI) 핸들러의 결함에서 비롯됩니다. 이러한 버그는 시스템 관리 RAM(SMRAM)에 대한 무단 접근을 가능하게 하여, 공격자가 권한을 상승시키고 지속적인 악성코드를 설치할 수 있게 합니다.

영향을 받는 취약점은 다음과 같습니다:

CVE-2025-7029: 공격자가 전원 및 열 구성에 사용되는 중요한 구조체(OcHeader, OcData)를 가리키는 RBX 레지스터를 조작할 수 있게 하는 소프트웨어 SMI 핸들러(SwSmiInputValue 0xB2)의 결함입니다. 이로 인해 SMRAM에 임의의 쓰기가 발생하고 SMM 권한 상승이 발생할 수 있습니다.

CVE?2025?7028: 공격자가 RBX/RCX를 통해 플래시 관리 기능(ReadFlash, WriteFlash, EraseFlash, GetFlashInfo)에 임의의 포인터를 전달할 수 있게 하는 SwSmiInputValue 0x20 핸들러의 결함입니다. 이는 SMRAM에 대한 임의의 읽기/쓰기 접근을 가능하게 하여, 지속적인 펌웨어 임플란트를 포함한 전체 SMM 수준의 손상을 초래할 수 있습니다.

CVE?2025?7027: 로컬 공격자가 검증되지 않은 포인터를 악용하여 메모리 쓰기의 대상과 내용을 제어할 수 있게 하는 소프트웨어 SMI 핸들러(SwSmiInputValue 0xB2)의 취약점입니다. 여기에는 UEFI NVRAM 변수와 RBX 레지스터에서 오는 포인터가 포함됩니다. 이는 SMRAM에 대한 임의의 쓰기를 가능하게 하여, SMM 권한 상승 및 펌웨어 손상을 초래할 수 있습니다.

CVE?2025?7026: 로컬 공격자가 RBX 레지스터를 SMI 플래시 루틴으로 유도할 수 있게 하는 소프트웨어 SMI 핸들러의 취약점입니다. 이는 SMM 권한 상승 및 장기적인 펌웨어 손상을 가능하게 합니다.

이런 일이 어떻게 발생했나요?

펌웨어 코드의 원래 공급자는 전 세계에서 가장 널리 사용되는 펌웨어 제공업체 중 하나인 아메리칸 메가트렌드(AMI)입니다. 그러나 펌웨어는 기가바이트에 의해 맞춤화되고 통합됩니다.

CERT/CC에 따르면, AMI는 같은 취약한 코드를 조용히 패치하고 OEM 고객에게 엄격한 비밀 유지 계약 하에 통지했습니다. 그러나 기가바이트가 이러한 수정 사항을 놓쳤거나 통합하지 못한 것으로 보이며, 기가바이트의 하위 빌드에서 다시 도입되었습니다.

CERT/CC는 4월 중순에 기가바이트에 취약점에 대해 알렸으며, 이는 6월에 회사에 의해 확인되었습니다.

어떻게 해야 하나요?

기가바이트는 결함을 해결하기 위해 지원 웹사이트를 통해 BIOS 업데이트를 배포하기 시작했습니다. 영향을 받는 사용자에게는 다음을 강력히 권장합니다:

기가바이트의 지원 페이지에서 귀하의 마더보드 모델을 확인하고 최신 펌웨어 업데이트가 가능한지 확인하십시오.

업데이트를 신속하게 설치하십시오, 특히 관리 권한이 있는 사용자가 로컬 또는 원격으로 접근할 수 있는 시스템에서. 자신이 위험에 처해 있지 않다고 생각하더라도, 패치는 이러한 잠재적인 공격을 방지하는 데 도움이 됩니다.

다른 OEM의 업데이트에 주의하십시오, AMI 펌웨어는 다양한 하드웨어 제조업체에서 널리 사용됩니다.