PixieFAIL - פגיעויות בערימת רשת הקושחה של UEFI המשמשת לאתחול PXE

תשע נקודות תורפה זוהו בקושחה של UEFI המבוססת על הפלטפורמה הפתוחה TianoCore EDK2, הנפוצה בשימוש במערכות שרתים, בשם הקוד המשותף PixieFAIL. פגיעויות קיימות בערימת קושחת הרשת המשמשת לארגון אתחול הרשת (PXE). הפגיעויות המסוכנות ביותר מאפשרות לתוקף לא מאומת לבצע קוד מרחוק ברמת הקושחה במערכות המאפשרות אתחול PXE ברשת IPv9.

בעיות פחות חמורות גורמות למניעת שירות (חסימת אתחול), דליפת מידע, הרעלת מטמון DNS וחטיפת הפעלת TCP. ניתן לנצל את רוב הפגיעויות מהרשת המקומית, אך ניתן לתקוף חלק מהחוליות גם מרשת חיצונית. תרחיש התקפה טיפוסי מסתכם בניטור תעבורה ברשת מקומית ושליחת מנות שתוכננו במיוחד כאשר מזוהה פעילות הקשורה לאתחול המערכת באמצעות PXE. אין צורך בגישה לשרת ההורדות או לשרת DHCP. כדי להדגים את טכניקת ההתקפה, פורסמו ניצול אב טיפוס.

קושחת UEFI המבוססת על פלטפורמת TianoCore EDK2 נמצאת בשימוש בחברות גדולות רבות, ספקי ענן, מרכזי נתונים ואשכולות מחשוב. בפרט, מודול NetworkPkg הפגיע עם מימוש אתחול PXE משמש בקושחה שפותחה על ידי ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell ו-Microsoft (Project Mu) ). ההערכה היא שהפרצות משפיעות גם על פלטפורמת ChromeOS, שיש לה חבילת EDK2 במאגר, אך גוגל מסרה כי החבילה הזו אינה בשימוש בקושחה עבור Chromebooks ופלטפורמת ChromeOS אינה מושפעת מהבעיה.

נקודות תורפה שזוהו:

• CVE-2023-45230 - הצפת מאגר בקוד הלקוח DHCPv6, מנוצל על ידי העברת מזהה שרת ארוך מדי (אפשרות מזהה שרת).
• CVE-2023-45234 - הצפת מאגר מתרחשת בעת עיבוד אפשרות עם פרמטרים של שרת DNS המועברים בהודעה המכריזה על נוכחות של שרת DHCPv6.
• CVE-2023-45235 - הצפת מאגר בעת עיבוד אפשרות ה-Server ID בהודעות הודעות פרוקסי DHCPv6.
• CVE-2023-45229 הוא זרימת תת מספר שלמים המתרחשת במהלך עיבוד אפשרויות IA_NA/IA_TA בהודעות DHCPv6 המפרסמות שרת DHCP.
• CVE-2023-45231 דליפת נתונים מחוץ למאגר מתרחשת בעת עיבוד הודעות ND Redirect (גילוי שכן) עם ערכי אופציות קטועים.
• CVE-2023-45232 לולאה אינסופית מתרחשת בעת ניתוח אפשרויות לא ידועות בכותרת Destination Options.
• CVE-2023-45233 לולאה אינסופית מתרחשת בעת ניתוח האפשרות PadN בכותרת החבילה.
• CVE-2023-45236 - שימוש בזרעי רצף TCP הניתנים לחיזוי כדי לאפשר טריז של חיבור TCP.
• CVE-2023-45237 – שימוש במחולל מספרים פסאודו-אקראיים לא אמין המייצר ערכים הניתנים לחיזוי.

הפגיעויות הוגשו ל-CERT/CC ב-3 באוגוסט 2023, ותאריך החשיפה נקבע ל-2 בנובמבר. עם זאת, בשל הצורך בהפצת תיקון מתואמת בין ספקים מרובים, תאריך השחרור נדחק בתחילה ל-1 בדצמבר, ולאחר מכן נדחק ל-12 בדצמבר ול-19 בדצמבר 2023, אך בסופו של דבר נחשף ב-16 בינואר 2024. במקביל, ביקשה מיקרוסופט לדחות את פרסום המידע לחודש מאי.

מקור: OpenNet.ru