TianoCore EDK2 avatud platvormil põhinevas UEFI püsivaras on tuvastatud üheksa haavatavust, mida tavaliselt kasutatakse serverisüsteemides, ühise koodnimega PixieFAIL. Võrgu alglaadimise (PXE) korraldamiseks kasutatavas võrgu püsivara virnas on haavatavused. Kõige ohtlikumad haavatavused võimaldavad autentimata ründajal käivitada püsivara tasemel kaugkoodi süsteemides, mis võimaldavad PXE alglaadimist IPv9 võrgu kaudu.
Vähem tõsised probleemid põhjustavad teenuse keelamist (käivitamise blokeerimine), teabelekkeid, DNS-i vahemälu mürgitamist ja TCP-seansi kaaperdamist. Enamikku turvaauke saab ära kasutada kohalikust võrgust, kuid mõnda turvaauku saab rünnata ka välisvõrgust. Tüüpiline ründe stsenaarium taandub kohaliku võrgu liikluse jälgimisele ja spetsiaalselt loodud pakettide saatmisele, kui tuvastatakse PXE kaudu süsteemi käivitamisega seotud tegevus. Juurdepääs allalaadimisserverile või DHCP-serverile pole vajalik. Rünnakutehnika demonstreerimiseks on avaldatud prototüübid.
TianoCore EDK2 platvormil põhinevat UEFI püsivara kasutatakse paljudes suurettevõtetes, pilvepakkujates, andmekeskustes ja andmetöötlusklastrites. Eelkõige kasutatakse PXE alglaadimise juurutamisega haavatavat NetworkPkg moodulit püsivaras, mille on välja töötanud ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell ja Microsoft (Project Mu ). Arvati, et haavatavused mõjutavad ka ChromeOS-i platvormi, mille hoidlas on EDK2 pakett, kuid Google ütles, et seda paketti Chromebookide püsivaras ei kasutata ja ChromeOS-i platvormi probleem ei puuduta.
Tuvastatud haavatavused:
- CVE-2023-45230 – puhvri ületäitumine DHCPv6 kliendikoodis, mida kasutatakse ära liiga pika serveri ID edastamisega (serveri ID valik).
- CVE-2023-45234 – DHCPv6 serveri olemasolust teatavas sõnumis edastatud DNS-serveri parameetritega suvandi töötlemisel tekib puhvri ületäitumine.
- CVE-2023-45235 – puhvri ületäitumine serveri ID suvandi töötlemisel DHCPv6 puhverserveri teatesõnumites.
- CVE-2023-45229 on täisarvu alavool, mis ilmneb DHCP-serverit reklaamivate DHCPv6-sõnumite IA_NA/IA_TA suvandite töötlemisel.
- CVE-2023-45231 Kärbitud suvandiväärtustega ND ümbersuunamise (naabrituvastus) sõnumite töötlemisel ilmneb puhvrist väljas andmete leke.
- CVE-2023-45232 Päises Sihtkoha suvandid tundmatute valikute sõelumisel tekib lõpmatu tsükkel.
- CVE-2023-45233 PadN-i suvandi sõelumisel paketi päises tekib lõpmatu silmus.
- CVE-2023-45236 – ennustatavate TCP-järjestuse seemnete kasutamine TCP-ühenduse kiilumise võimaldamiseks.
- CVE-2023-45237 – ebausaldusväärse pseudojuhuslike arvude generaatori kasutamine, mis toodab ennustatavaid väärtusi.
Turvaaugud esitati CERT/CC-le 3. augustil 2023 ja avalikustamise kuupäevaks määrati 2. november. Kuna aga plaastri väljalaskmine on kooskõlastatud mitme tarnija vahel, lükati väljalaskekuupäev algselt tagasi 1. detsembrile, seejärel 12. ja 19. detsembrile 2023, kuid lõpuks avaldati see 16. jaanuaril 2024. Samas palus Microsoft teabe avaldamise maikuusse edasi lükata.
Allikas: opennet.ru