Athari tisa zimetambuliwa katika programu dhibiti ya UEFI kulingana na jukwaa huria la TianoCore EDK2, linalotumiwa sana kwenye mifumo ya seva, kwa pamoja iliyopewa jina la msimbo PixieFAIL. Athari zipo katika rundo la programu dhibiti ya mtandao linalotumika kupanga kuwasha mtandao (PXE). Athari hatari zaidi huruhusu mvamizi ambaye hajaidhinishwa kutekeleza msimbo wa mbali katika kiwango cha programu dhibiti kwenye mifumo inayoruhusu uanzishaji wa PXE kupitia mtandao wa IPv9.
Matatizo mazito kidogo husababisha kunyimwa huduma (kuzuia buti), uvujaji wa habari, sumu ya akiba ya DNS, na utekaji nyara wa kipindi cha TCP. Udhaifu mwingi unaweza kutumiwa kutoka kwa mtandao wa ndani, lakini baadhi ya udhaifu pia unaweza kushambuliwa kutoka kwa mtandao wa nje. Hali ya kawaida ya uvamizi hutokana na ufuatiliaji wa trafiki kwenye mtandao wa ndani na kutuma pakiti zilizoundwa mahususi wakati shughuli inayohusiana na kuwasha mfumo kupitia PXE inapogunduliwa. Ufikiaji wa seva ya upakuaji au seva ya DHCP hauhitajiki. Ili kuonyesha mbinu ya kushambulia, matumizi ya mfano yamechapishwa.
Firmware ya UEFI kulingana na jukwaa la TianoCore EDK2 hutumiwa katika makampuni mengi makubwa, watoa huduma za wingu, vituo vya data na makundi ya kompyuta. Hasa, moduli dhaifu ya NetworkPkg na utekelezaji wa boot ya PXE hutumiwa katika firmware iliyotengenezwa na ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell na Microsoft (Project Mu). ) Udhaifu huo pia uliaminika kuathiri jukwaa la ChromeOS, ambalo lina kifurushi cha EDK2 kwenye hifadhi, lakini Google ilisema kuwa kifurushi hiki hakitumiki katika mfumo dhibiti wa Chromebook na jukwaa la ChromeOS haliathiriwi na tatizo.
Udhaifu uliotambuliwa:
- CVE-2023-45230 - Bafa imejaa katika msimbo wa mteja wa DHCPv6, iliyotumiwa vibaya kwa kupitisha kitambulisho cha seva kirefu sana (chaguo la Kitambulisho cha Seva).
- CVE-2023-45234 - Kuzidisha kwa bafa hutokea wakati wa kuchakata chaguo na vigezo vya seva ya DNS iliyopitishwa katika ujumbe unaotangaza kuwepo kwa seva ya DHCPv6.
- CVE-2023-45235 - Bafa kufurika wakati wa kuchakata chaguo la Kitambulisho cha Seva katika ujumbe wa tangazo la seva mbadala wa DHCPv6.
- CVE-2023-45229 ni mtiririko kamili ambao hutokea wakati wa kuchakata chaguo za IA_NA/IA_TA katika ujumbe wa DHCPv6 unaotangaza seva ya DHCP.
- CVE-2023-45231 Uvujaji wa data nje ya bafa hutokea wakati wa kuchakata ujumbe wa ND Redirect (Ugunduzi wa Jirani) na thamani za chaguo zilizopunguzwa.
- CVE-2023-45232 Kitanzi kisicho na kikomo hutokea wakati wa kuchanganua chaguo zisizojulikana katika kichwa cha Chaguo Lengwa.
- CVE-2023-45233 Kitanzi kisicho na kikomo hutokea wakati wa kuchanganua chaguo la PadN kwenye kichwa cha pakiti.
- CVE-2023-45236 - Matumizi ya mbegu za mpangilio za TCP zinazotabirika ili kuruhusu uunganishaji wa wedging wa TCP.
- CVE-2023-45237 - Matumizi ya jenereta ya nambari isiyo ya kawaida isiyotegemewa ambayo hutoa maadili yanayotabirika.
Athari za kiusalama ziliwasilishwa kwa CERT/CC mnamo Agosti 3, 2023, na tarehe ya kufichua ilipangwa kuwa Novemba 2. Walakini, kwa sababu ya hitaji la uwasilishaji ulioratibiwa wa kiraka kwa wachuuzi wengi, tarehe ya kutolewa ilirudishwa nyuma hadi Desemba 1, kisha ikarudishwa hadi Desemba 12 na Desemba 19, 2023, lakini hatimaye ilifichuliwa mnamo Januari 16, 2024. Wakati huo huo, Microsoft iliomba kuahirisha uchapishaji wa habari hadi Mei.
Chanzo: opennet.ru