Positive Labs hat zwei Sicherheitslücken in der Firmware der Broadcom‑NetXtreme‑E‑Adapter offengelegt, die in Servern und Rechenzentren weit verbreitet sind. Betroffen ist die Firmware‑Version 231.1.162.1. Die Schwachstellen sind als PT‑2025‑17 (BDU:2025‑01796, CVSS 4.6) und PT‑2025‑19 (BDU:2025‑01825, CVSS 8.2) klassifiziert; Letztere bietet zwei Ausnutzungsvektoren und erhöht damit die Angriffswahrscheinlichkeit. Broadcom hat nach Angaben der Forscher zeitnah aktualisierte Firmware bereitgestellt; Betreiber sollten zügig aktualisieren.
Firmware-Schwachstellen in Broadcom NetXtreme‑E: Kerndaten und Risiko
Die gemeldeten Fehler betreffen den Netzwerkpfad auf Host‑Ebene und können die Isolation zwischen virtuellen Maschinen (VMs) schwächen oder die Netzwerkkonnektivität des Hosts beeinträchtigen. PT‑2025‑19 wird mit einem CVSS‑Basiswert von 8.2 (hoch) bewertet; gemäß CVSS v3.1 fallen Werte von 7.0–8.9 in die Hoch‑Stufe, was ein signifikantes Risiko signalisiert (vgl. FIRST CVSS).
Auswirkungen auf Cloud- und Rechenzentrumsumgebungen
Manipulierte oder fehlerhafte NIC‑Firmware kann zu Dienstunterbrechungen führen und Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. In Multimandanten‑Setups drohen seitliche Bewegungen zwischen VMs, der Abfluss sensibler Daten sowie Betriebsstörungen.
Bei erfolgreicher Ausnutzung von PT‑2025‑19 ist ein Angriff der Klasse VM‑Escape möglich, der in der Folge vollständigen Zugriff auf andere VMs auf demselben Server eröffnen kann. Zusätzlich ist ein Denial‑of‑Service (DoS) des Adapters möglich, der die Netzwerkanbindung aller VMs auf dem betroffenen Host unterbricht.
Bedrohungsmodell und Angriffswege
Voraussetzung für einen Angriff ist der Zugriff auf eine VM, die auf einem Host mit verwundbarem NetXtreme‑E‑Adapter läuft. Dieser Zugriff kann durch die Kompromittierung einer vorhandenen VM oder über die legitime Anmietung von Ressourcen bei einem Cloud‑Provider erfolgen. Das Risiko ist in Multi‑Tenant‑Umgebungen besonders hervorzuheben, in denen SR‑IOV und VF‑Passthrough Performance‑Vorteile bieten, aber die Angriffsoberfläche vergrößern.
Historische Vorfälle wie VENOM (CVE‑2015‑3456) zeigen, dass Schwächen an der Grenze VM – Hypervisor – Gerät die Kernzusage der Isolation aushebeln können. Ähnliche Risiken wurden in der Forschung zu DMA‑Angriffen belegt, worauf Arbeiten wie Thunderclap verweisen.
Empfohlene Maßnahmen: Patchen, Härtung, Überwachung
Firmware zügig aktualisieren: Spielen Sie die von Broadcom veröffentlichten Updates im geplanten Wartungsfenster ein. Testen Sie vorab in einer Pilotzone und halten Sie einen Rollback‑Plan bereit.
Geräte- und Plattformisolation stärken: Aktivieren Sie IOMMU/VT‑d, begrenzen Sie SR‑IOV/VF‑Rechte, setzen Sie Queue‑Kontrollen und Filter. Nutzen Sie eine vertrauenswürdige Update‑Kette und Integritätsprüfungen für Geräte‑Firmware gemäß NIST SP 800‑193 (Platform Firmware Resiliency).
Netzwerksegmentierung und Zero Trust: Härten Sie Ost‑West‑Verkehr durch Mikrosegmentierung, Richtlinien und verteilte Firewalls. Minimieren Sie Querverbindungen zwischen Mandanten und Workloads.
Beobachtbarkeit sicherstellen: Überwachen Sie NIC‑Resets, Firmware‑Fehler, Anomalien bei Durchsatz und Latenz. Korrelieren Sie Telemetrie aus Hypervisor, Host und Netzwerk‑Fabric, um Incidents frühzeitig zu erkennen.
<
