Sembilan kerentanan telah diidentifikasi dalam firmware UEFI berdasarkan platform terbuka TianoCore EDK2, yang biasa digunakan pada sistem server, yang secara kolektif diberi nama kode PixieFAIL. Kerentanan terdapat pada tumpukan firmware jaringan yang digunakan untuk mengatur boot jaringan (PXE). Kerentanan paling berbahaya memungkinkan penyerang yang tidak diautentikasi mengeksekusi kode jarak jauh pada tingkat firmware pada sistem yang memungkinkan PXE melakukan booting melalui jaringan IPv9.
Masalah yang tidak terlalu parah mengakibatkan penolakan layanan (pemblokiran boot), kebocoran informasi, keracunan cache DNS, dan pembajakan sesi TCP. Sebagian besar kerentanan dapat dieksploitasi dari jaringan lokal, namun beberapa kerentanan juga dapat diserang dari jaringan eksternal. Skenario serangan yang khas adalah memantau lalu lintas di jaringan lokal dan mengirimkan paket yang dirancang khusus ketika aktivitas yang terkait dengan boot sistem melalui PXE terdeteksi. Akses ke server unduhan atau server DHCP tidak diperlukan. Untuk mendemonstrasikan teknik serangan, prototipe eksploitasi telah dipublikasikan.
Firmware UEFI berdasarkan platform TianoCore EDK2 digunakan di banyak perusahaan besar, penyedia cloud, pusat data, dan cluster komputasi. Secara khusus, modul NetworkPkg yang rentan dengan implementasi boot PXE digunakan dalam firmware yang dikembangkan oleh ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell dan Microsoft (Project Mu ). Kerentanan tersebut juga diyakini memengaruhi platform ChromeOS, yang memiliki paket EDK2 di repositori, tetapi Google mengatakan bahwa paket ini tidak digunakan dalam firmware untuk Chromebook dan platform ChromeOS tidak terpengaruh oleh masalah tersebut.
Kerentanan yang teridentifikasi:
- CVE-2023-45230 - Buffer overflow dalam kode klien DHCPv6, dieksploitasi dengan meneruskan ID server yang terlalu panjang (opsi ID Server).
- CVE-2023-45234 - Buffer overflow terjadi saat memproses opsi dengan parameter server DNS yang diteruskan dalam pesan yang mengumumkan keberadaan server DHCPv6.
- CVE-2023-45235 - Buffer overflow saat memproses opsi ID Server di pesan pengumuman proksi DHCPv6.
- CVE-2023-45229 adalah underflow bilangan bulat yang terjadi selama pemrosesan opsi IA_NA/IA_TA dalam pesan DHCPv6 yang mengiklankan server DHCP.
- CVE-2023-45231 Kebocoran data di luar buffer terjadi saat memproses pesan ND Redirect (Neighbor Discovery) dengan nilai opsi terpotong.
- CVE-2023-45232 Perulangan tak terbatas terjadi saat menguraikan opsi yang tidak diketahui di header Opsi Tujuan.
- CVE-2023-45233 Perulangan tak terbatas terjadi saat mengurai opsi PadN di header paket.
- CVE-2023-45236 - Penggunaan seed urutan TCP yang dapat diprediksi untuk memungkinkan koneksi TCP terjepit.
- CVE-2023-45237 β Penggunaan generator bilangan pseudo-acak yang tidak dapat diandalkan yang menghasilkan nilai yang dapat diprediksi.
Kerentanan tersebut diserahkan ke CERT/CC pada 3 Agustus 2023, dan tanggal pengungkapan dijadwalkan pada 2 November. Namun, karena kebutuhan akan rilis patch yang terkoordinasi di beberapa vendor, tanggal rilis awalnya diundur ke 1 Desember, kemudian diundur ke 12 Desember dan 19 Desember 2023, namun akhirnya diumumkan pada 16 Januari 2024. Pada saat yang sama, Microsoft meminta untuk menunda publikasi informasi hingga Mei.
Sumber: opennet.ru