Er zijn negen kwetsbaarheden geïdentificeerd in UEFI-firmware gebaseerd op het TianoCore EDK2 open platform, dat vaak wordt gebruikt op serversystemen, gezamenlijk met de codenaam PixieFAIL. Er zijn kwetsbaarheden aanwezig in de netwerkfirmware-stack die wordt gebruikt om het opstarten van het netwerk (PXE) te organiseren. Door de gevaarlijkste kwetsbaarheden kan een niet-geverifieerde aanvaller externe code uitvoeren op firmwareniveau op systemen die PXE-opstarten via een IPv9-netwerk mogelijk maken.
Minder ernstige problemen resulteren in Denial of Service (opstartblokkering), informatielekken, DNS-cachevergiftiging en het kapen van TCP-sessies. De meeste kwetsbaarheden kunnen worden misbruikt vanuit het lokale netwerk, maar sommige kwetsbaarheden kunnen ook worden aangevallen vanuit een extern netwerk. Een typisch aanvalsscenario komt neer op het monitoren van verkeer op een lokaal netwerk en het verzenden van speciaal ontworpen pakketten wanneer activiteit gerelateerd aan het opstarten van het systeem via PXE wordt gedetecteerd. Toegang tot de downloadserver of DHCP-server is niet vereist. Om de aanvalstechniek te demonstreren zijn prototype-exploits gepubliceerd.
UEFI-firmware op basis van het TianoCore EDK2-platform wordt gebruikt in veel grote bedrijven, cloudproviders, datacenters en computerclusters. Met name de kwetsbare NetworkPkg-module met PXE-opstartimplementatie wordt gebruikt in firmware ontwikkeld door ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell en Microsoft (Project Mu ). Er werd aangenomen dat de kwetsbaarheden ook gevolgen hadden voor het ChromeOS-platform, dat het EDK2-pakket in de repository heeft, maar Google zei dat dit pakket niet wordt gebruikt in de firmware voor Chromebooks en dat het ChromeOS-platform niet door het probleem wordt getroffen.
Geïdentificeerde kwetsbaarheden:
- CVE-2023-45230 - Een bufferoverloop in de DHCPv6-clientcode, misbruikt door een te lang server-ID door te geven (Server ID-optie).
- CVE-2023-45234 - Er treedt een bufferoverflow op bij het verwerken van een optie waarbij DNS-serverparameters worden doorgegeven in een bericht waarin de aanwezigheid van een DHCPv6-server wordt aangekondigd.
- CVE-2023-45235 - Bufferoverloop bij het verwerken van de server-ID-optie in DHCPv6-proxyaankondigingsberichten.
- CVE-2023-45229 is een onderstroom van gehele getallen die optreedt tijdens de verwerking van IA_NA/IA_TA-opties in DHCPv6-berichten waarin reclame wordt gemaakt voor een DHCP-server.
- CVE-2023-45231 Er treedt een gegevenslek buiten de buffer op bij het verwerken van ND Redirect-berichten (Neighbor Discovery) met ingekorte optiewaarden.
- CVE-2023-45232 Er treedt een oneindige lus op bij het parseren van onbekende opties in de header Bestemmingsopties.
- CVE-2023-45233 Er treedt een oneindige lus op bij het parseren van de PadN-optie in de pakketheader.
- CVE-2023-45236 - Gebruik van voorspelbare TCP-reekszaden om TCP-verbindingswidging mogelijk te maken.
- CVE-2023-45237 – Gebruik van een onbetrouwbare pseudo-willekeurige getalgenerator die voorspelbare waarden produceert.
De kwetsbaarheden zijn op 3 augustus 2023 ingediend bij CERT/CC en de openbaarmakingsdatum was gepland voor 2 november. Vanwege de behoefte aan een gecoördineerde release van de patch door meerdere leveranciers, werd de releasedatum aanvankelijk uitgesteld naar 1 december en vervolgens teruggeschoven naar 12 en 19 december 2023, maar werd uiteindelijk onthuld op 16 januari 2024. Tegelijkertijd vroeg Microsoft om de publicatie van informatie uit te stellen tot mei.
Bron: opennet.ru