简介 

    CERT协调中心（CERT/CC）针对编号为CVE-2025-11577的关键供应链漏洞发布警告。研究人员发现，Clevo（蓝天电脑）特定型号笔记本电脑的UEFI固件中，意外泄露了英特尔Boot Guard功能的硬件加密私钥。这一私钥的泄露，使得攻击者能够绕过硬件级别的安全启动机制，在设备启动过程的早期阶段植入恶意固件，从而彻底破坏从硬件到操作系统的信任链，对供应链安全构成严重威胁。

核心详情 

    该漏洞的技术原理在于，Clevo作为原始设计制造商（ODM），在其为多个品牌笔记本电脑提供的UEFI固件镜像中，错误地包含了用于英特尔Boot Guard功能验证的数字签名私钥。Boot Guard是英特尔在硬件层面实现的一项安全技术，旨在确保系统只加载由原始设备制造商（OEM）签名的可信固件。私钥泄露意味着攻击者可以伪造受信任的固件签名，从而在目标设备上部署难以检测的持久化恶意代码（如Rootkit）。此漏洞的发现基于安全研究人员对Clevo固件进行的逆向工程分析，其影响深远，因为它直接动用了硬件信任根的完整性，使得传统的软件安全防护措施失效。攻击者利用此漏洞可在操作系统启动前获得最高控制权限，实现深度隐蔽的攻击。

适用范围  

    此漏洞主要影响使用受影响Clevo主板平台的笔记本电脑用户，包括但不限于购买特定型号白牌笔记本或依赖Clevo解决方案的二线品牌用户。系统管理员、企业IT采购部门以及关注供应链安全的个人用户均需重点关注。在设备采购、固件更新管理以及供应链风险评估等场景下，此漏洞信息具有高度相关性。

推荐措施 

    1、立即检查设备型号和固件版本，访问设备制造商或Clevo官方网站，查询并应用包含安全修复的最新版UEFI固件。

    2、在企业环境中，建议通过集中管理工具强制推送固件更新。同时，加强供应链安全审计，优先选择具备透明安全响应机制的供应商。普通用户应保持警惕，避免从非官方渠道下载和刷新固件。