Neuf vulnérabilités ont été identifiées dans le micrologiciel UEFI basé sur la plate-forme ouverte TianoCore EDK2, couramment utilisée sur les systèmes serveurs, collectivement nommées PixieFAIL. Des vulnérabilités sont présentes dans la pile du micrologiciel réseau utilisée pour organiser le démarrage réseau (PXE). Les vulnérabilités les plus dangereuses permettent à un attaquant non authentifié d'exécuter du code à distance au niveau du micrologiciel sur des systèmes permettant le démarrage PXE sur un réseau IPv9.
Des problèmes moins graves entraînent un déni de service (blocage du démarrage), une fuite d'informations, un empoisonnement du cache DNS et un détournement de session TCP. La plupart des vulnérabilités peuvent être exploitées depuis le réseau local, mais certaines vulnérabilités peuvent également être attaquées depuis un réseau externe. Un scénario d'attaque typique se résume à surveiller le trafic sur un réseau local et à envoyer des paquets spécialement conçus lorsqu'une activité liée au démarrage du système via PXE est détectée. L'accès au serveur de téléchargement ou au serveur DHCP n'est pas requis. Pour démontrer la technique d'attaque, des prototypes d'exploits ont été publiés.
Le micrologiciel UEFI basé sur la plate-forme TianoCore EDK2 est utilisé dans de nombreuses grandes entreprises, fournisseurs de cloud, centres de données et clusters informatiques. En particulier, le module vulnérable NetworkPkg avec implémentation de démarrage PXE est utilisé dans les micrologiciels développés par ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell et Microsoft (Project Mu ). On pense également que les vulnérabilités affectent la plate-forme ChromeOS, qui possède un package EDK2 dans le référentiel, mais Google a déclaré que ce package n'est pas utilisé dans le micrologiciel des Chromebooks et que la plate-forme ChromeOS n'est pas affectée par le problème.
Vulnérabilités identifiées :
- CVE-2023-45230 - Un buffer overflow dans le code client DHCPv6, exploité en passant un ID serveur trop long (option Server ID).
- CVE-2023-45234 - Un débordement de buffer se produit lors du traitement d'une option avec des paramètres de serveur DNS passés dans un message annonçant la présence d'un serveur DHCPv6.
- CVE-2023-45235 - Débordement de tampon lors du traitement de l'option Server ID dans les messages d'annonce du proxy DHCPv6.
- CVE-2023-45229 est un dépassement de capacité entier qui se produit lors du traitement des options IA_NA/IA_TA dans les messages DHCPv6 annonçant un serveur DHCP.
- CVE-2023-45231 Une fuite de données hors tampon se produit lors du traitement des messages de redirection ND (découverte de voisin) avec des valeurs d'option tronquées.
- CVE-2023-45232 Une boucle infinie se produit lors de l'analyse des options inconnues dans l'en-tête Options de destination.
- CVE-2023-45233 Une boucle infinie se produit lors de l'analyse de l'option PadN dans l'en-tête du paquet.
- CVE-2023-45236 - Utilisation de graines de séquence TCP prévisibles pour permettre le calage des connexions TCP.
- CVE-2023-45237 – Utilisation d'un générateur de nombres pseudo-aléatoires peu fiable qui produit des valeurs prévisibles.
Les vulnérabilités ont été soumises au CERT/CC le 3 août 2023 et la date de divulgation était prévue pour le 2 novembre. Cependant, en raison de la nécessité d'une publication coordonnée des correctifs entre plusieurs fournisseurs, la date de sortie a été initialement repoussée au 1er décembre, puis repoussée aux 12 et 19 décembre 2023, pour finalement être révélée le 16 janvier 2024. Dans le même temps, Microsoft a demandé de reporter la publication de l'information au mois de mai.
Source: opennet.ru