PixieFAIL - уязвимости в мрежовия стек на UEFI фърмуера, използван за PXE зареждане

Бяха идентифицирани девет уязвимости във фърмуера на UEFI, базиран на отворената платформа TianoCore EDK2, често използвана в сървърни системи, с общо кодово име PixieFAIL. Уязвимости присъстват в стека на мрежовия фърмуер, използван за организиране на мрежово зареждане (PXE). Най-опасните уязвимости позволяват на неавтентифициран нападател да изпълни отдалечен код на ниво фърмуер на системи, които позволяват PXE зареждане през IPv9 мрежа.

По-малко тежките проблеми водят до отказ на услуга (блокиране на стартиране), изтичане на информация, отравяне на DNS кеша и отвличане на TCP сесия. Повечето уязвимости могат да бъдат използвани от локалната мрежа, но някои уязвимости могат да бъдат атакувани и от външна мрежа. Типичен сценарий на атака се свежда до наблюдение на трафика в локална мрежа и изпращане на специално проектирани пакети, когато бъде открита дейност, свързана със зареждане на системата чрез PXE. Не е необходим достъп до сървъра за изтегляне или DHCP сървъра. За да се демонстрира техниката на атака, бяха публикувани прототипни експлойти.

UEFI фърмуерът, базиран на платформата TianoCore EDK2, се използва в много големи компании, облачни доставчици, центрове за данни и изчислителни клъстери. По-специално, уязвимият модул NetworkPkg с внедряване на PXE зареждане се използва във фърмуер, разработен от ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell и Microsoft (Project Mu ). Смята се също, че уязвимостите засягат платформата ChromeOS, която има пакет EDK2 в хранилището, но Google каза, че този пакет не се използва във фърмуера за Chromebook и платформата ChromeOS не е засегната от проблема.

Идентифицирани уязвимости:

• CVE-2023-45230 - Препълване на буфера в кода на клиента DHCPv6, използвано чрез предаване на твърде дълъг идентификатор на сървър (опция за идентификатор на сървър).
• CVE-2023-45234 - Възниква препълване на буфер при обработка на опция с параметри на DNS сървър, предадени в съобщение, оповестяващо присъствието на DHCPv6 сървър.
• CVE-2023-45235 - Препълване на буфера при обработка на опцията Server ID в DHCPv6 съобщения за прокси сървър.
• CVE-2023-45229 е целочислен недостатъчен поток, който възниква по време на обработката на опциите IA_NA/IA_TA в DHCPv6 съобщения, рекламиращи DHCP сървър.
• CVE-2023-45231 Изтичане на данни извън буфера възниква при обработка на съобщения за ND Redirect (Neighbor Discovery) със съкратени стойности на опцията.
• CVE-2023-45232 Възниква безкраен цикъл при анализиране на неизвестни опции в заглавката на опциите за местоназначение.
• CVE-2023-45233 Възниква безкраен цикъл при анализиране на опцията PadN в заглавката на пакета.
• CVE-2023-45236 - Използване на предсказуеми начални точки на TCP последователност, за да се позволи вклиняване на TCP връзка.
• CVE-2023-45237 – Използване на ненадежден генератор на псевдослучайни числа, който произвежда предвидими стойности.

Уязвимостите бяха изпратени до CERT/CC на 3 август 2023 г., а датата на разкриване беше насрочена за 2 ноември. Въпреки това, поради необходимостта от координирано пускане на кръпка от множество доставчици, датата на пускане първоначално беше изместена до 1 декември, след това отложена до 12 декември и 19 декември 2023 г., но в крайна сметка беше разкрита на 16 януари 2024 г. В същото време Microsoft поиска да отложи публикуването на информация до май.

Източник: opennet.ru