PixieFail, UEFI ranjivost

AUTOR ·

PixieFail, UEFI ranjivost otkrivena od strane francuske sigurnosne kompanije Quarkslab, je skup ranjivosti u TianoCore EDK II, implementacija UEFI specifikacije otvorenog kôda. Ove ranjivosti predstavljaju značajna rizik od napada daljinskog izvršavanja kôda.

PixieFail

PixieFail, UEFI ranjivost; Source: Bing Image Creator

PIXIEFAIL, UEFI RANJIVOST

Višestruku bezbjednosni propusti su otkriveni u steku TCP/IP mrežnih protokola referentne implementacije otvorenog kôda specifikacije Unified Extensible Firmware Interface – UEFI koja se široko koristi u savremenim računarima. Kolektivno nazvane PixieFail od srane sigurnosnih istraživača, njih ukupno devet ranjivosti se nalazi u TianoCore EFI Development Kit IIEDK II  implementaciji UEFI specifikacije otvorenog kôda i mogu se iskoristiti za daljinsko izvršavanje kôda, uskraćivanje usluge (DoS),  trovanje DNS keša i curenje osjetljivih podataka.

UEFI upravljački softver koji je odgovoran pokretanje operativnog sistema kod AMI, Intel, Insyde, i Phoenix Technologies je pogođen ovim ranjivostima. EDK II uključuje sopstveni TCP/IP stek pod nazivom NetworkPkg kako bi omogućio mrežne funkcionalnosti dostupne u Preboot eXecution Environment – PXE fazi koja omogućava upravljanje u odsustvu operativnog sistema.

Jednostavno rečeno, to je okruženje klijent-server za pokretanje uređaja sa njegove mrežne kartice (NIC) i omogućava da mrežni računari koji još nisu učitani operativnim sistemom budu konfigurisani i pokrenuti na daljinu od strane administratora. Kôd za PXE je satvani dio UEFI upravljačkog softvera na matičnoj ploči ili u memoriji samo za čitanje (ROM) NIC upravljačkog softvera.

Problem nastaje u okviru EDK II steka  pod nazivom NetworkPkg kojeg obuhvataju greške prekoračenja, čitanje van granica, beskonačne petlje i upotrebu slabog generatora pseudoslučajnih brojeva (eng. pseudorandom number generator – PRNG) koje omogućavaju napade  trovanje DNS keša i DHCP-a, curenja informacija, uskraćivanja usluga i napade ubacivanja podataka na IPv4 i IPv6 sloju.

 

RANJIVOSTI

U nastavku slijedi lista devet ranjivosti:

  • CVE-2023-45229 (CVSS ocjena: 6.5) – Nedostatak cijelog broja prilikom obrade IA_NA/IA_TA opcija u DHCPv6 Advertise poruci,
  • CVE-2023-45230 (CVSS ocjena: 8.3) – Prelivanje bafera u DHCPv6 klijentu preko opcije dugačkog ID servera,
  • CVE-2023-45231 (CVSS ocjena: 6.5) – Čitanje van granica pri rukovanju porukom ND Redirect sa skraćenim opcijama,
  • CVE-2023-45232 (CVSS ocjena: 7.5) – Beskonačna petlja prilikom raščlanjavanja nepoznatih opcija u zaglavlju Destination Options,
  • CVE-2023-45233 (CVSS ocjena: 7.5) – Beskonačna petlja pri raščlanjavanja opcije PadN u zaglavlju Destination Options,
  • CVE-2023-45234 (CVSS ocjena: 8.3) – Prelivanje bafera pri obradi opcije DNS servera u DHCPv6 Advertise poruci,
  • CVE-2023-45235 (CVSS ocjena: 8.3) – Prelivanje bafera pri rukovanju opcijom ID servera sa DHCPv6 proxy Advertise poruka
  • CVE-2023-45236 (CVSS ocjena: 5.8) – Predvidljivi TCP početni brojevi sekvence,
  • CVE-2023-45237 (CVSS ocjena: 5.3) – Upotreba slabog generatora pseudoslučajnih brojeva.

 

“Uticaj i mogućnost iskorištavanja ovih ranjivosti zavise od specifične verzije upravljačkog softvera i podrazumijevane PXE konfiguracije pokretanja. Napadač unutar lokalne mreže (i, u određenim scenarijima na daljinu) bi mogao da iskoristi ove slabosti da izvrši daljinski kôd, pokrene DoS napade, sprovede trovanje DNS keša ili izvuče osjetljive informacije.”

CERT Coordination Center (CERT/CC)

 

ZAKLJUČAK

PixieFail nije nešto o čemu bi obični korisnici trebalo da brinu. Ranjivosti su, međutim, definitivno nešto o čemu bi okruženja u oblaku i centri podataka trebalo da brinu. Na kraju krajeva, ranjivosti omogućavaju nekome sa ograničenim pristupom mreži da iznenada zatvori bilo koji server u mreži sljedeći put kada se ponovo pokrene. Tokom nekoliko nedjelja, to bi moglo dovesti do ogromnog broja zaraženih mašina.

Ipak, poštujući dobre prakse sajber bezbjednosti, svi krajnji korisnici bi takođe trebalo da ažuriraju ranjivosti, ali je hitnost u ovom slučaju nije naglašena. Korisnici bi generalno treba da traže ažuriranje kod proizvođača svojih uređaja ili matične ploče.

 

ZAŠTITA

Kako bi se zaštiti, korisnicima se preporučuje da primjene posljednju dostupnu verziju UEFI upravljačkog softvera koja sadrži ispravke za navedene ranjivosti. Korisnici treba da prate preporuke i savjete proizvođača kao dio mehanizma zaštite. Dalji korisnici Tianocore EDK II koji podrazumijeva NetworkPkg trebalo bi da primjene najnoviju dostupnu verziju Tianocore projekta.

U operativnim okruženjima, korisnicima se preporučuju sljedeća riješenja:

  • Onemogućiti PXE pokretanje ako se ne koristi  ili ne podržava u operativnom računarskom okruženju,
  • Primijeniti izolaciju mreže tako da UEFI Preboot okruženje bude dostupno određenoj mreži koja je zaštićena od neovlaštenog pristupa,
  • Postavite zaštitu u računarsko okruženje od lažnih DHCP usluga koristeći mogućnosti kao što su dinamička ARP inspekcija i DHCP njuškanje.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.