Специалисты Positive Labs сообщили об устранении двух уязвимостей в прошивке высокоскоростных сетевых адаптеров Broadcom семейства NetXtreme‑E, активно применяемых в серверах и инфраструктуре дата-центров. Ошибки затрагивали версию прошивки 231.1.162.1 и потенциально создавали условия для компрометации изоляции виртуальных машин и отказа сетевого стека на хосте.
Что произошло: две уязвимости в прошивке Broadcom NetXtreme‑E
Выявленные дефекты получили идентификаторы PT-2025-17 (BDU:2025-01796) с оценкой CVSS 4.6 и PT-2025-19 (BDU:2025-01825) с оценкой CVSS 8.2. Вторая уязвимость имеет два вектора эксплуатации, что повышает вероятность и удобство атаки для злоумышленника.
По данным исследователей, Broadcom оперативно выпустила обновленную прошивку. Пользователям рекомендовано как можно скорее перейти на актуальную версию и придерживаться официальных руководств производителя.
Возможные последствия для облаков и дата-центров
Скомпрометированная прошивка сетевого адаптера может привести к нарушениям в работе сервисов, включая кратковременные или длительные сбои, а также к риску несанкционированного доступа к данным. Потенциально под угрозой — коммерчески чувствительная информация, персональные и учетные данные сотрудников, клиентов и партнеров, что чревато финансовыми потерями и репутационным ущербом для провайдеров и корпоративных заказчиков.
Как отмечают исследователи, при успешной эксплуатации PT-2025-19 возможно проведение атаки класса VM Escape с последующим получением полного доступа к другим виртуальным машинам на том же сервере. Кроме того, уязвимость способна вызвать отказ в обслуживании (DoS) сетевого адаптера, что приведет к потере сетевой доступности всех ВМ на затронутом хосте.
Модель угроз и сценарии эксплуатации
Для реализации атаки злоумышленнику необходим доступ к виртуальной машине, запущенной на сервере с уязвимым NIC. Такой доступ может быть получен как через взлом уже существующей ВМ, так и путем легальной аренды вычислительных ресурсов у облачного провайдера. Подобная модель угроз типична для мультиарендной среды, где общий аппаратный слой разделяется между независимыми клиентами.
Исторически атаки типа VM Escape уже приводили к громким инцидентам в индустрии (например, уязвимость VENOM в QEMU в 2015 году), демонстрируя, что брешь на границе «ВМ — гипервизор — устройство» способна разрушить ключевую гарантию изоляции. В случае сетевых адаптеров риск усугубляется наличием DMA, SR‑IOV и offload-функций: ошибки в прошивке на этом уровне потенциально позволяют влиять на другие ВМ и сетевые потоки хоста.
Рекомендации по снижению рисков и обновлению
Обновите прошивку затронутых NetXtreme‑E до последней версии, опубликованной Broadcom, в составе планового окна обслуживания. Перед разворачиванием — протестируйте совместимость в пилотной зоне и подготовьте план отката.
Включите доступные защитные опции в конфигурации NIC, в том числе ограничения для SR‑IOV/VF, контроль очередей и фильтрацию, а также задействуйте IOMMU на уровне платформы для изоляции DMA. По возможности используйте проверку целостности и цепочку доверенной загрузки прошивки (NIST SP 800‑193 рекомендует практики устойчивости платформенной прошивки).
Усилите сетевую сегментацию и политики east‑west трафика между ВМ; применяйте микросегментацию и Zero Trust-контроль при межсегментных взаимодействиях. Настройте наблюдаемость: мониторинг перезагрузок NIC, ошибок прошивки, аномалий пропускной способности и всплесков латентности.
Актуализируйте инвентарь оборудования и версий прошивки, автоматизируйте управление обновлениями и ведите хронологию патчей для устройств, критичных к доступности.
Почему ошибки в прошивке NIC особенно опасны
Сетевые адаптеры функционируют на низком уровне и взаимодействуют напрямую с памятью и гипервизором. Недочеты в прошивке на этом слое могут обходить традиционные средства защиты гостевых ОС, а также влиять на множество арендаторов сразу. Поэтому своевременные патчи, аппаратная изоляция и принцип наименьших привилегий для функций offload — ключ к снижению системного риска.
Инфраструктурным и облачным командам стоит немедленно оценить подверженность, обновить прошивку Broadcom NetXtreme‑E и включить рекомендованные механизмы защиты. Регулярный аудит устройств, дисциплина управления прошивками и архитектурные меры изоляции помогут поддерживать устойчивость сервисов и предотвратить эскалацию инцидентов в мультиарендной среде.
