Kilenc sebezhetőséget azonosítottak a szerverrendszereken általánosan használt TianoCore EDK2 nyílt platformon alapuló UEFI firmware-ben, gyűjtőnéven PixieFAIL. A hálózati rendszerindítás (PXE) szervezésére használt hálózati firmware-veremben sebezhetőségek vannak. A legveszélyesebb sérülékenységek lehetővé teszik a nem hitelesített támadók számára, hogy firmware-szinten távoli kódot hajtsanak végre azokon a rendszereken, amelyek lehetővé teszik a PXE rendszerindítást IPv9 hálózaton keresztül.
A kevésbé súlyos problémák szolgáltatásmegtagadást (boot blokkolást), információszivárgást, DNS-gyorsítótár-mérgezést és TCP-munkamenet-eltérítést eredményeznek. A sérülékenységek többsége kihasználható a helyi hálózatról, de néhány sérülékenység külső hálózatról is támadható. Egy tipikus támadási forgatókönyv a helyi hálózat forgalmának figyelésében és a rendszer PXE-n keresztüli indításával kapcsolatos tevékenység észlelésekor speciálisan tervezett csomagok küldésében merül ki. A letöltési kiszolgálóhoz vagy a DHCP-kiszolgálóhoz való hozzáférés nem szükséges. A támadási technika bemutatására prototípus exploitokat tettek közzé.
A TianoCore EDK2 platformon alapuló UEFI firmware-t számos nagyvállalat, felhőszolgáltató, adatközpont és számítástechnikai klaszter használja. A sérülékeny NetworkPkg modult PXE rendszerindítással az ARM, az Insyde Software (Insyde H20 UEFI BIOS), az American Megatrends (AMI Aptio OpenEdition), a Phoenix Technologies (SecureCore), az Intel, a Dell és a Microsoft (Project Mu) által fejlesztett firmware használja. ). A sebezhetőségről azt hitték, hogy a ChromeOS platformot is érintik, amelynek EDK2-es csomagja van a tárolóban, de a Google szerint ezt a csomagot nem használják a Chromebookok firmware-ében, és a ChromeOS platformot nem érinti a probléma.
Azonosított sebezhetőségek:
- CVE-2023-45230 – Puffertúlcsordulás a DHCPv6-ügyfélkódban, amelyet túl hosszú kiszolgálóazonosító átadásával használnak ki (Szerverazonosító opció).
- CVE-2023-45234 – Puffertúlcsordulás történik, amikor a DNS-kiszolgáló paramétereit egy DHCPv6-kiszolgáló jelenlétét közlő üzenetben továbbított paraméterekkel dolgozzák fel.
- CVE-2023-45235 – Puffertúlcsordulás a DHCPv6-proxy bejelentési üzenetekben a Kiszolgálóazonosító beállításának feldolgozásakor.
- A CVE-2023-45229 egy egész alulcsordulás, amely a DHCP-kiszolgálót hirdető DHCPv6-üzenetek IA_NA/IA_TA-beállításainak feldolgozása során következik be.
- CVE-2023-45231 Pufferen kívüli adatszivárgás történik a csonka beállításértékekkel rendelkező ND átirányítási (Neighbor Discovery) üzenetek feldolgozása során.
- CVE-2023-45232 A Destination Options fejlécben lévő ismeretlen opciók elemzésekor végtelen hurok lép fel.
- CVE-2023-45233 Végtelen ciklus lép fel a PadN beállítás elemzésekor a csomag fejlécében.
- CVE-2023-45236 – Megjósolható TCP-szekvencia magok használata a TCP-kapcsolat ékelésének lehetővé tétele érdekében.
- CVE-2023-45237 – Megbízhatatlan pszeudo-véletlenszám-generátor használata, amely kiszámítható értékeket állít elő.
A sebezhetőségeket 3. augusztus 2023-án nyújtották be a CERT/CC-nek, a közzététel időpontját pedig november 2-ra tűzték ki. Mivel azonban több gyártó között összehangolt javítási kiadásra volt szükség, a megjelenési dátumot kezdetben december 1-re tolták, majd 12. december 19-re és december 2023-re, de végül 16. január 2024-án hozták nyilvánosságra. A Microsoft ugyanakkor kérte, hogy májusra halasszák el az információk közzétételét.
Forrás: opennet.ru