PixieFail: uma série de vulnerabilidades na pilha de rede Tianocore EDK2

David Y. Naranjo

Minutos 4

vulnerabilidade

Se exploradas, essas falhas podem permitir que invasores obtenham acesso não autorizado a informações confidenciais ou geralmente causem problemas

Os Pesquisadores de segurança do QuarksLab revelados através de um blog postar a notícia que identificou 9 vulnerabilidades na interface UEFI baseado em plataforma aberta TianoCore EDK2, geralmente usado em sistemas de servidor.

Chamado PixieFAIL, Esta série de vulnerabilidades é presente na pilha de firmware de rede usado para organizar a exploração ameaçadora de inicialização de rede (PXE) no nível do firmware. A exploração bem-sucedida, possível durante o processo de inicialização da rede, pode permitir ataques de negação de serviço, vazamento de dados, execução remota de código, envenenamento de cache DNS e sequestro de sessão de rede.

Sobre PixieFail

Os pesquisadores de segurança do QuarksLab mencionam que As vulnerabilidades mais perigosas permitem que invasores não autenticados executem código remoto no nível do firmware em sistemas que permitem inicialização PXE em uma rede IPv6.

Enquanto vulnerabilidades menos graves podem causar negação de serviço (bloqueio de inicialização), vazamento de informações, envenenamento de cache DNS e sequestro de sessão TCP. A maioria das vulnerabilidades pode ser explorada a partir da rede local, embora algumas também possam ser atacadas a partir de uma rede externa.

“Isso geralmente é feito em vários estágios, começando com um programa mínimo que é baixado de um servidor de rede usando um protocolo simples, como o TFTP, que então baixa e executa um segundo estágio de inicialização ou a imagem completa do sistema operacional”.

Em sua postagem no blog, eles detalham isso O firmware UEFI baseado na plataforma TianoCore EDK2 é usado em muitas grandes empresass, provedores de nuvem, data centers e clusters de computação. Em particular, o módulo vulnerável NetworkPkg com implementação de inicialização PXE é usado em firmware desenvolvido por ARM, Insyde Software, American Megatrends, Phoenix Technologies (SecureCore), Intel, Dell e Microsoft.

Também Acredita-se que as vulnerabilidades afetem a plataforma ChromeOS, que possui um pacote EDK2 no repositório, mas o Google disse que esse pacote não é usado no firmware dos Chromebooks e que a plataforma ChromeOS não é afetada pelo problema.

Um cenário típico de ataque envolve o monitoramento do tráfego em uma rede local e o envio de pacotes especialmente criados quando a atividade relacionada à inicialização do sistema é detectada pelo PXE. Não é necessário acesso ao servidor de download ou ao servidor DHCP. Como demonstração da técnica de ataque, foram publicados protótipos de exploits.

Vulnerabilidades identificadas:

  • CVE-2023-45230: Estouro de buffer no código do cliente DHCPv6, explorado pela passagem de um ID de servidor muito longo (opção de ID de servidor).
  • CVE-2023-45234: Ocorre um buffer overflow ao processar uma opção com parâmetros do servidor DNS passados ​​em uma mensagem anunciando a presença de um servidor DHCPv6.
  • CVE-2023-45235: Estouro de buffer ao processar a opção ID do servidor em mensagens de anúncio de proxy DHCPv6.
  • CVE-2023-45229: é um underflow de número inteiro que ocorre durante o processamento das opções IA_NA/IA_TA em mensagens DHCPv6 que anunciam um servidor DHCP.
  • CVE-2023-45231: Ocorre um vazamento de dados fora do buffer ao processar mensagens de redirecionamento ND (Neighbor Discovery) com valores de opção truncados.
  • CVE-2023-45232: Um loop infinito ocorre ao analisar opções desconhecidas no cabeçalho Target Options.
  • CVE-2023-45233: Um loop infinito ocorre ao analisar a opção PadN no cabeçalho do pacote.
  • CVE-2023-45236: uso de sementes de sequência TCP previsíveis para permitir a conexão TCP.
  • CVE-2023-45237: uso de um gerador de números pseudoaleatórios não confiável que produz valores previsíveis.

É mencionado que as vulnerabilidades foram enviadas ao CERT/CC em 3 de agosto de 2023 e a data de lançamento estava marcada para 2 de novembro. No entanto, devido à necessidade de um lançamento de patch coordenado entre vários fornecedores, a data de lançamento foi inicialmente adiada para 1º de dezembro, depois adiada para 12 e 19 de dezembro de 2023, mas acabou sendo revelada até este mês de janeiro de 2024. ao mesmo tempo, a Microsoft pediu o adiamento da publicação das informações para maio.

Por fim, se você estiver interessado em saber mais sobre o assunto, consulte os detalhes em o seguinte link.