Njoggen kwetsberens binne identifisearre yn UEFI-firmware basearre op it TianoCore EDK2 iepen platfoarm, gewoanlik brûkt op serversystemen, kollektyf koadenamme PixieFAIL. Kwetsberheden binne oanwêzich yn 'e netwurk firmware stack brûkt om te organisearjen netwurk boot (PXE). De gefaarlikste kwetsberens tastean in net-authentisearre oanfaller koade op ôfstân út te fieren op it firmwarenivo op systemen dy't PXE-booting tastean oer in IPv9-netwurk.
Minder serieuze problemen resultearje yn ûntkenning fan tsjinst (bootblokkearjen), ynformaasjelekkage, DNS-cachefergiftiging, en TCP-sesjekaping. De measte kwetsberens kinne wurde eksploitearre fanút it lokale netwurk, mar guon kwetsberens kinne ek oanfallen wurde fan in ekstern netwurk. In typysk oanfalscenario komt del op it kontrolearjen fan ferkear op in lokaal netwurk en it ferstjoeren fan spesjaal ûntwurpen pakketten as aktiviteit yn ferbân mei it opstarten fan it systeem fia PXE wurdt ûntdutsen. Tagong ta de ynlaadtsjinner of DHCP-tsjinner is net fereaske. Om de oanfalstechnyk te demonstrearjen, binne prototype-eksploaten publisearre.
UEFI-firmware basearre op it TianoCore EDK2-platfoarm wurdt brûkt yn in protte grutte bedriuwen, wolkproviders, datasintra en komputerklusters. Benammen de kwetsbere NetworkPkg module mei PXE boot ymplemintaasje wurdt brûkt yn firmware ûntwikkele troch ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell en Microsoft (Project Mu) ). De kwetsberens waarden ek leaud om it ChromeOS-platfoarm te beynfloedzjen, dat in EDK2-pakket yn 'e repository hat, mar Google sei dat dit pakket net brûkt wurdt yn' e firmware foar Chromebooks en it ChromeOS-platfoarm wurdt net beynfloede troch it probleem.
Identifisearre kwetsberens:
- CVE-2023-45230 - In bufferoerlêst yn 'e DHCPv6-kliïntkoade, eksploitearre troch te lang in server-ID troch te jaan (opsje foar tsjinner-ID).
- CVE-2023-45234 - In bufferoerstream komt foar by it ferwurkjen fan in opsje mei DNS-tsjinnerparameters trochjûn yn in berjocht dat de oanwêzigens fan in DHCPv6-tsjinner oankundiget.
- CVE-2023-45235 - Bufferoerstream by it ferwurkjen fan de Server ID-opsje yn DHCPv6 proxy-oankundigingsberjochten.
- CVE-2023-45229 is in hiele getal underflow dy't optreedt by it ferwurkjen fan IA_NA/IA_TA opsjes yn DHCPv6 berjochten advertearje in DHCP tsjinner.
- CVE-2023-45231 In datalek bûten de buffer komt foar by it ferwurkjen fan ND Redirect (Neighbor Discovery) berjochten mei ôfkoarte opsjewearden.
- CVE-2023-45232 In ûneinige lus komt foar by it parsearjen fan ûnbekende opsjes yn 'e koptekst fan bestimmingsopsjes.
- CVE-2023-45233 In ûneinige lus komt foar by it parsearjen fan de PadN-opsje yn 'e pakketkop.
- CVE-2023-45236 - Gebrûk fan foarsisbere TCP-sekwinsje-sieden om TCP-ferbining te wigjen.
- CVE-2023-45237 - Gebrûk fan in ûnbetroubere pseudo-willekeurige nûmergenerator dy't foarsisbere wearden produseart.
De kwetsberens waarden yntsjinne by CERT / CC op 3 augustus 2023, en de iepenbieringsdatum wie pland foar 2 novimber. Fanwegen de needsaak foar in koördinearre patch-release oer meardere leveransiers, waard de releasedatum lykwols ynearsten weromset nei 1 desimber, doe werom nei 12 desimber en 19 desimber 2023, mar waard úteinlik iepenbiere op 16 jannewaris 2024. Tagelyk frege Microsoft om de publikaasje fan ynformaasje út te stellen oant maaie.
Boarne: opennet.ru