Millones De Ordenadores Expuestos A Ataques Por Vulnerabilidades En La Interfaz UEFI
Investigadores de Quarkslab descubren hasta nueve fallos en la implementación open-source de UEFI, EDKII. Las vulnerabilidades afectan al stack TCP/IP y pueden ser explotadas durante el arranque de equipos a través de la red. Atacantes en la misma red local, o en ciertas situaciones desde una red remota, podrían extraer información confidencial de los equipos afectados, iniciar una denegación de servicio, modificar sus DNS o ejecutar código remoto.
UEFI (Unified Extensible Firmware Interface) es una interfaz moderna que reemplaza a la tradicional BIOS. Provee una forma estandarizada de interacción entre el sistema operativo y el firmware del sistema durante el proceso de arranque. Entre sus ventajas se encuentra el facilitar soporte a dispositivos de almacenamiento de mayor capacidad, tiempos de arranque más rápidos y una arquitectura flexible que facilita el desarrollo de aplicaciones pre-boot y los procesos de inicio seguro.
Múltiples proveedores afectados por la vulnerabilidad
EDKII es una implementación de UEFI por parte de TianoCore, una comunidad open-source. Esta se usa en el firmware de al menos 23 proveedores, de acuerdo a la lista publicada por CERT/CC estadounidense. El proceso de arranque a través de la red se utiliza sobre todo en centros de datos, servidores y entornos de computación de alto rendimiento.
El entorno de ejecución pre-arranque (PXE por sus siglas en inglés) es una solución cliente-servidor que permite a los equipos el arranque desde la red. Este proceso se conoce coloquialmente como Pixie boot, de ahí que los investigadores de Quarkslab hayan denominado PixieFAIL al conjunto de vulnerabilidades encontradas. Para que sean explotadas, los equipos vulnerables tienen que tener la configuración de arranque PXE activada.
Quarkslab da en un su publicación una explicación detallada de cada una de las vulnerabilidades encontradas. Muchos de los problemas se producen por una falta de verificación de integridad (sanity checks) en la interacción entre cliente y servidor durante el proceso de arranque por red. Este es el listado completo de CVEs:
- CVE-2023-45229 (CVSS: 6.5)
- CVE-2023-45230 (CVSS: 8.3)
- CVE-2023-45231 (CVSS: 6.5)
- CVE-2023-45232 (CVSS: 7.5)
- CVE-2023-45233 (CVSS: 7.5)
- CVE-2023-45234 (CVSS: 8.3)
- CVE-2023-45235 (CVSS: 8.3)
- CVE-2023-45236 (CVSS: 5.8)
- CVE-2023-45237 (CVSS: 5.3)
El CERT/CC de Estados Unidos recomienda seguir las instrucciones de los proveedores para actualizar a versiones de firmware no vulnerables, reforzar la seguridad de la red y utilizar protocolos seguros de entornos de arranque en red, como UEFI HTTPS Boot para mitigar el impacto de PixieFAIL. En cualquier caso es importante también verificar que se hayan implementado las protecciones para solventar la vulnerabilidad LogoFAIL publicada en diciembre que también afectaba a la interfaz UEFI.
Más información:
https://thehackernews.com/2024/01/pixiefail-uefi-flaws-expose-millions-of.html
https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html
https://www.kb.cert.org/vuls/id/132380
https://unaaldia.hispasec.com/2023/12/vulnerabilidades-criticas-en-uefi-logofail-expone-a-dispositivos-x86-y-arm.html
https://www.zdnet.com/article/this-is-how-to-protect-your-computers-from-logofail-attacks/
Via: unaaldia.hispasec.com