Ġew identifikati disa' vulnerabbiltajiet fil-firmware UEFI bbażati fuq il-pjattaforma miftuħa TianoCore EDK2, użata komunement fuq sistemi ta 'server, kollettivament isem kodiċi PixieFAIL. Il-vulnerabbiltajiet huma preżenti fil-munzell tal-firmware tan-netwerk użat biex jorganizza l-boot tan-netwerk (PXE). L-aktar vulnerabbiltajiet perikolużi jippermettu lil attakkant mhux awtentikat jesegwixxi kodiċi remot fil-livell tal-firmware fuq sistemi li jippermettu l-ibbutjar tal-PXE fuq netwerk IPv9.
Problemi inqas severi jirriżultaw f'ċaħda ta 'servizz (imblukkar tal-boot), tnixxija ta' informazzjoni, avvelenament tal-cache DNS, u ħtif ta 'sessjoni TCP. Ħafna vulnerabbiltajiet jistgħu jiġu sfruttati min-netwerk lokali, iżda xi vulnerabbiltajiet jistgħu wkoll jiġu attakkati minn netwerk estern. Xenarju ta' attakk tipiku jirriżulta għall-monitoraġġ tat-traffiku fuq netwerk lokali u l-bgħit ta' pakketti ddisinjati apposta meta tinstab attività relatata mal-bootjar tas-sistema permezz tal-PXE. L-aċċess għas-server tat-tniżżil jew is-server DHCP mhuwiex meħtieġ. Biex tintwera t-teknika tal-attakk, ġew ippubblikati sfruttamenti prototipi.
Firmware UEFI bbażat fuq il-pjattaforma TianoCore EDK2 jintuża f'ħafna kumpaniji kbar, fornituri tal-cloud, ċentri tad-dejta u clusters tal-kompjuters. B'mod partikolari, il-modulu vulnerabbli NetworkPkg bl-implimentazzjoni tal-boot PXE jintuża fil-firmware żviluppat minn ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell u Microsoft (Project Mu). ). Il-vulnerabbiltajiet kienu wkoll maħsuba li jaffettwaw il-pjattaforma ChromeOS, li għandha pakkett EDK2 fir-repożitorju, iżda Google qalet li dan il-pakkett ma jintużax fil-firmware għal Chromebooks u l-pjattaforma ChromeOS mhix affettwata mill-problema.
Vulnerabbiltajiet identifikati:
- CVE-2023-45230 - Buffer overflow fil-kodiċi tal-klijent DHCPv6, sfruttat billi jgħaddi ID tas-server twil wisq (għażla Server ID).
- CVE-2023-45234 - Buffer overflow iseħħ meta tiġi pproċessata għażla b'parametri tas-server DNS mgħoddija f'messaġġ li jħabbar il-preżenza ta' server DHCPv6.
- CVE-2023-45235 - Buffer overflow meta tiġi pproċessata l-għażla Server ID f'messaġġi ta' tħabbir ta' proxy DHCPv6.
- CVE-2023-45229 huwa underflow ta' numru sħiħ li jseħħ waqt l-ipproċessar tal-għażliet IA_NA/IA_TA f'messaġġi DHCPv6 li jirreklamaw server DHCP.
- CVE-2023-45231 Tnixxija tad-dejta barra mill-buffer isseħħ meta jiġu pproċessati messaġġi ND Redirect (Neighbor Discovery) b'valuri ta' għażliet maqtugħin.
- CVE-2023-45232 Isseħħ linja infinita meta jiġu analizzati għażliet mhux magħrufa fl-intestatura Għażliet tad-Destinazzjoni.
- CVE-2023-45233 Isseħħ linja infinita meta tiġi analizzata l-għażla PadN fl-intestatura tal-pakkett.
- CVE-2023-45236 - Użu ta 'żrieragħ ta' sekwenza TCP prevedibbli biex jippermetti t-twaħħil tal-konnessjoni TCP.
- CVE-2023-45237 – Użu ta' ġeneratur ta' numru psewdo-każwali mhux affidabbli li jipproduċi valuri prevedibbli.
Il-vulnerabbiltajiet ġew sottomessi lis-CERT/CC fit-3 ta’ Awwissu 2023, u d-data ta’ żvelar kienet skedata għat-2 ta’ Novembru. Madankollu, minħabba l-ħtieġa għal rilaxx ta 'garża kkoordinata f'diversi bejjiegħa, id-data ta' rilaxx inizjalment ġiet imbuttata lura għall-1 ta 'Diċembru, imbagħad imbuttata lura għat-12 ta' Diċembru u d-19 ta 'Diċembru, 2023, iżda finalment ġiet żvelata fis-16 ta' Jannar 2024. Fl-istess ħin, Microsoft talbet li tipposponi l-pubblikazzjoni tal-informazzjoni sa Mejju.
Sors: opennet.ru