Nëntë dobësi janë identifikuar në firmuerin UEFI bazuar në platformën e hapur TianoCore EDK2, e përdorur zakonisht në sistemet e serverëve, të koduar kolektivisht PixieFAIL. Dobësitë janë të pranishme në grupin e firmuerit të rrjetit që përdoret për të organizuar nisjen e rrjetit (PXE). Dobësitë më të rrezikshme lejojnë një sulmues të paautentikuar të ekzekutojë kodin në distancë në nivelin e firmuerit në sistemet që lejojnë nisjen e PXE përmes një rrjeti IPv9.
Probleme më pak të rënda rezultojnë në mohim të shërbimit (bllokim i nisjes), rrjedhje informacioni, helmim i memories DNS dhe rrëmbim i sesionit TCP. Shumica e dobësive mund të shfrytëzohen nga rrjeti lokal, por disa dobësi mund të sulmohen edhe nga një rrjet i jashtëm. Një skenar tipik sulmi zbret në monitorimin e trafikut në një rrjet lokal dhe dërgimin e paketave të projektuara posaçërisht kur zbulohet aktiviteti që lidhet me nisjen e sistemit nëpërmjet PXE. Qasja në serverin e shkarkimit ose serverin DHCP nuk kërkohet. Për të demonstruar teknikën e sulmit, janë publikuar prototipe të shfrytëzimit.
Firmware UEFI i bazuar në platformën TianoCore EDK2 përdoret në shumë kompani të mëdha, ofrues cloud, qendra të dhënash dhe grupime kompjuterike. Në veçanti, moduli i cenueshëm NetworkPkg me implementim të nisjes PXE përdoret në firmware të zhvilluar nga ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell dhe Microsoft (Project Mu ). Dobësitë besohej se preknin gjithashtu platformën ChromeOS, e cila ka paketën EDK2 në depo, por Google tha që kjo paketë nuk përdoret në firmuerin për Chromebook dhe platforma ChromeOS nuk ndikohet nga problemi.
Dobësitë e identifikuara:
- CVE-2023-45230 - Një tejmbushje buferi në kodin e klientit DHCPv6, i shfrytëzuar duke kaluar shumë gjatë një ID serveri (opsioni i ID-së së serverit).
- CVE-2023-45234 - Një tejmbushje buferi ndodh kur përpunohet një opsion me parametrat e serverit DNS të kaluar në një mesazh që njofton praninë e një serveri DHCPv6.
- CVE-2023-45235 - Mbushje e buferit kur përpunohet opsioni i ID-së së serverit në mesazhet e njoftimit të përfaqësuesit DHCPv6.
- CVE-2023-45229 është një rrjedhje e plotë që ndodh gjatë përpunimit të opsioneve IA_NA/IA_TA në mesazhet DHCPv6 që reklamojnë një server DHCP.
- CVE-2023-45231 Një rrjedhje e të dhënave jashtë bufferit ndodh kur përpunohen mesazhet ND Redirect (Neighbor Discovery) me vlera të shkurtuara opsioni.
- CVE-2023-45232 Një lak i pafund ndodh kur analizohen opsionet e panjohura në kokën e opsioneve të destinacionit.
- CVE-2023-45233 Një lak i pafund ndodh kur analizohet opsioni PadN në kokën e paketës.
- CVE-2023-45236 - Përdorimi i farave të sekuencës së parashikueshme TCP për të lejuar lidhjen e lidhjes TCP.
- CVE-2023-45237 - Përdorimi i një gjeneruesi të numrave pseudo të rastësishëm jo të besueshëm që prodhon vlera të parashikueshme.
Dobësitë u dorëzuan në CERT/CC më 3 gusht 2023 dhe data e zbulimit ishte planifikuar për 2 nëntor. Sidoqoftë, për shkak të nevojës për një lëshim të koordinuar të patch-it në shumë shitës, data e lëshimit fillimisht u shty në 1 dhjetor, më pas u shty në 12 dhjetor dhe 19 dhjetor 2023, por përfundimisht u zbulua më 16 janar 2024. Në të njëjtën kohë, Microsoft kërkoi të shtyjë publikimin e informacionit deri në maj.
Burimi: opennet.ru