透過硬體開發資安檢測，從源頭守護供應鏈安全

AMI 作為全球主要的 BMC 韌體供應商之一，為各大 OEM 廠商提供基礎韌體。然因各家廠商依據自身硬體設計進行客製化整合，相同漏洞在不同產品中可能呈現出不同的影響程度。儘管本次 AMI 已釋出修補程式，但實際更新部署仍須依賴 OEM 廠商更新。近期已有部分品牌，如華碩、HPE等廠商，陸續發布了相關安全更新，但仍有許多設備尚未完成修補。

BMC 作為伺服器架構中獨立、持續運作且可遠端管理的控制單元，一旦暴露於漏洞攻擊，將成為駭客滲透企業的破口。面對這類供應鏈型資安威脅，OEM 廠商應主動加強：

• 開發階段引入資安檢測及第三方審查機制。
• 定期追蹤關鍵供應商（如 BMC 韌體商）的安全通報。
• 確保第一時間整合修補更新並提供透明資訊給最終客戶。
• 針對企業客戶提供更新指引與風險告知，協助其強化防護。

唯有將資安作為硬體產品品質的一部分，OEM 廠商才能迅速應對各類型風險，降低供應鏈攻擊對客戶與自身品牌聲譽的損害。

資安威脅不再僅限於軟體層面，硬體與韌體已成為攻擊者積極鎖定的新戰場，供應鏈韌性將成為產品競爭力的重要指標。BMC 漏洞事件再次提醒產業界，唯有從設計源頭強化資安，並建立完善的漏洞應對機制，才能確保客戶安全，維護企業信任。

韌體資安檢測並非易事，需依不同產品特性進行評估、調整與改進。若您正尋求在設計與製造流程中導入有效的資安檢測，歡迎洽詢大鈞科技。我們可協助安排專業顧問服務，為您的硬體開發提供量身訂製的安全評估與建議，與您攜手強化全球供應鏈的防護力。

參考資料

• 華碩修補工作站主機板BMC元件的資安重大漏洞 | iThome
• Remotely Exploitable AMI MegaRAC Vulnerabilities - BMC&C Part 3 - Eclypsium | Supply Chain Security for the Modern Enterprise
• AMI Security Center
• NVD - CVE-2024-54085