Salapan kerentanan parantos diidentifikasi dina firmware UEFI dumasar kana platform kabuka TianoCore EDK2, anu biasa dianggo dina sistem server, sacara koléktif namina PixieFAIL. Kerentanan aya dina tumpukan firmware jaringan anu dianggo pikeun ngatur boot jaringan (PXE). Kerentanan anu paling bahaya ngamungkinkeun panyerang anu teu dioténtikasi pikeun ngaéksekusi kode jauh di tingkat firmware dina sistem anu ngamungkinkeun PXE boot dina jaringan IPv9.
Masalah anu kirang parna nyababkeun panolakan jasa (boot blocking), bocor inpormasi, karacunan cache DNS, sareng pangbajak sesi TCP. Kaseueuran kerentanan tiasa dieksploitasi tina jaringan lokal, tapi sababaraha kerentanan ogé tiasa diserang tina jaringan éksternal. Skenario serangan anu umum nyaéta ngawaskeun lalu lintas dina jaringan lokal sareng ngirim pakét anu dirarancang khusus nalika kagiatan anu aya hubunganana sareng booting sistem via PXE dideteksi. Aksés ka pangladén unduhan atanapi pangladén DHCP henteu diperyogikeun. Pikeun nunjukkeun téknik serangan, eksploitasi prototipe parantos diterbitkeun.
Firmware UEFI dumasar kana platform TianoCore EDK2 dianggo di seueur perusahaan ageung, panyadia awan, pusat data sareng klaster komputasi. Khususna, modul NetworkPkg anu rentan sareng palaksanaan boot PXE dianggo dina firmware anu dikembangkeun ku ARM, Insyde Software (Insyde H20 UEFI BIOS), Megatrends Amérika (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell sareng Microsoft (Project Mu). ). Kerentanan ogé dipercaya mangaruhan platform ChromeOS, anu ngagaduhan pakét EDK2 dina gudang, tapi Google nyarios yén pakét ieu henteu dianggo dina firmware pikeun Chromebook sareng platform ChromeOS henteu kapangaruhan ku masalah.
Kerentanan anu diidentifikasi:
- CVE-2023-45230 - A mudal panyangga dina kode klien DHCPv6, dieksploitasi ku ngalirkeun panjang teuing a ID server (Server ID pilihan).
- CVE-2023-45234 - Overflow panyangga lumangsung nalika ngolah pilihan sareng parameter server DNS anu diliwatan dina pesen anu ngumumkeun ayana server DHCPv6.
- CVE-2023-45235 - Buffer overflow nalika ngolah pilihan Server ID dina seratan pengumuman proxy DHCPv6.
- CVE-2023-45229 mangrupa underflow integer anu lumangsung salila ngolah pilihan IA_NA/IA_TA dina seratan DHCPv6 iklan server DHCP.
- CVE-2023-45231 Bocor data kaluar-of-buffer lumangsung nalika ngolah pesen ND Redirect (Neighbor Discovery) kalayan nilai pilihan anu dipotong.
- CVE-2023-45232 Loop tanpa wates lumangsung nalika nga-parsing pilihan anu teu dipikanyaho dina lulugu Pilihan Tujuan.
- CVE-2023-45233 Loop tanpa wates lumangsung nalika nga-parsing pilihan PadN dina lulugu pakét.
- CVE-2023-45236 - Pamakéan siki runtuyan TCP diprediksi pikeun ngidinan sambungan TCP wedging.
- CVE-2023-45237 - Anggo generator nomer pseudo-acak anu teu tiasa dipercaya anu ngahasilkeun nilai anu tiasa diprediksi.
Kerentanan dikintunkeun ka CERT/CC dina 3 Agustus 2023, sareng tanggal panyingkepan dijadwalkeun dina 2 Nopémber. Nanging, kusabab kabutuhan pelepasan patch anu terkoordinasi dina sababaraha vendor, tanggal sékrési mimitina didorong deui ka 1 Désémber, teras didorong deui ka 12 Désémber sareng 19 Désémber 2023, tapi tungtungna diungkabkeun dina 16 Januari 2024. Dina waktos anu sami, Microsoft naroskeun pikeun nunda publikasi inpormasi dugi ka Méi.
sumber: opennet.ru