Περίπου το εννέα τοις εκατό των ελεγμένων εικόνων υλικολογισμικού χρησιμοποιούν κρυπτογραφικά κλειδιά μη παραγωγής που είναι δημόσια γνωστά ή έχουν διαρρεύσει σε παραβιάσεις δεδομένων, αφήνοντας πολλές συσκευές Secure Boot ευάλωτες σε επιθέσεις κακόβουλου λογισμικού bootkit UEFI.
Γνωστό ως “PKfail” και τώρα παρακολουθείται ως CVE-2024-8105η επίθεση της αλυσίδας εφοδιασμού προκαλείται από το δοκιμαστικό κύριο κλειδί ασφαλούς εκκίνησης (πλατφόρμα κλειδιού “PK”), το οποίο οι πωλητές υπολογιστών έπρεπε να αντικαταστήσουν με τα δικά τους κλειδιά που δημιουργήθηκαν με ασφάλεια.
Παρόλο που αυτά τα κλειδιά επισημάνθηκαν ως “DO NOT TRUST”, εξακολουθούσαν να χρησιμοποιούνταν από πολλούς κατασκευαστές υπολογιστών, συμπεριλαμβανομένων των Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo, Phoenix και Supermicro.
Το ζήτημα ανακαλύφθηκε από το Binarly στα τέλη Ιουλίου 2024, το οποίο προειδοποίησε για τη χρήση μη αξιόπιστων κλειδιών δοκιμής, πολλά από τα οποία έχουν ήδη διαρρεύσει στο GitHub και σε άλλες τοποθεσίες, σε περισσότερα από οκτακόσια μοντέλα συσκευών καταναλωτών και επιχειρήσεων.
Το PKfail θα μπορούσε να επιτρέψει στους παράγοντες απειλών να παρακάμψουν τις προστασίες Secure Boot και να φυτέψουν μη ανιχνεύσιμο κακόβουλο λογισμικό UEFI σε ευάλωτα συστήματα, αφήνοντας στους χρήστες κανένα τρόπο να υπερασπιστούν ή ακόμα και να ανακαλύψουν τον συμβιβασμό.
Αντίκτυπος και απόκριση PKfail
Ως μέρος της έρευνάς τους, η Binarly κυκλοφόρησε έναν “PKfail scanner”, τον οποίο οι προμηθευτές μπορούν να χρησιμοποιήσουν για να ανεβάσουν τις εικόνες του υλικολογισμικού τους για να δουν αν χρησιμοποιούν κλειδί δοκιμής.
Από την κυκλοφορία του, ο σαρωτής έχει βρει 791 ευάλωτες υποβολές υλικολογισμικού από τις 10.095, σύμφωνα με τις πιο πρόσφατες μετρήσεις.
“Με βάση τα δεδομένα μας, βρήκαμε PKfail και κλειδιά μη παραγωγής σε ιατρικές συσκευές, επιτραπέζιους υπολογιστές, φορητούς υπολογιστές, κονσόλες παιχνιδιών, εταιρικούς διακομιστές, ΑΤΜ, τερματικά POS και μερικά περίεργα μέρη όπως μηχανήματα ψηφοφορίας.” διαβάζει το νέα έκθεση από Binarly.
Η πλειονότητα των ευάλωτων υποβολών είναι κλειδιά από την AMI (American Megatrends Inc.), ακολουθούμενη από την Insyde (61), την Phoenix (4) και μια υποβολή από τη Supermicro.
Πηγή: Binarly
Για τα κλειδιά Insyde, τα οποία δημιουργήθηκαν το 2011, η Binarly λέει ότι οι υποβολές εικόνας υλικολογισμικού αποκαλύπτουν ότι εξακολουθούν να χρησιμοποιούνται σε σύγχρονες συσκευές. Προηγουμένως, εικαζόταν ότι βρίσκονταν μόνο σε παλαιού τύπου συστήματα.
Η κοινότητα έχει επίσης επιβεβαιώσει ότι το PKfail επηρεάζει εξειδικευμένες συσκευές από το Hardkernel, το Beelink και το Minisforum, επομένως ο αντίκτυπος του ελαττώματος είναι ευρύτερος από ό,τι είχε αρχικά εκτιμηθεί.
Δυαδικά το σχολιάζει αυτό απάντηση πωλητή Το PKfail ήταν γενικά προληπτικό και γρήγορο, αν και δεν δημοσίευσαν όλοι γρήγορα συμβουλές σχετικά με τον κίνδυνο ασφάλειας. Τα ενημερωτικά δελτία στο PKfail είναι προς το παρόν διαθέσιμα έως Λαγκάδα, Fujitsu, Supermicro, Gigabyte, Intelκαι Φοίνιξ.
Αρκετοί προμηθευτές έχουν ήδη κυκλοφορήσει ενημερώσεις κώδικα ή ενημερώσεις υλικολογισμικού για την αφαίρεση ευάλωτων κλειδιών πλατφόρμας ή την αντικατάστασή τους με κρυπτογραφικό υλικό έτοιμο για παραγωγή και οι χρήστες μπορούν να τα αποκτήσουν ενημερώνοντας το BIOS τους.
Εάν η συσκευή σας δεν υποστηρίζεται πλέον και είναι απίθανο να λαμβάνει ενημερώσεις ασφαλείας για το PKfail, συνιστάται να περιοριστεί η φυσική πρόσβαση σε αυτήν και να απομονωθεί από πιο κρίσιμα μέρη του δικτύου.
VIA: bleepingcomputer.com
