Jonathan Greig er journalist med base i New York City.
Fuld bio den 3. februar 2022 | Emne: Sikkerhed
Forskere har opdaget 23 “high-impact sårbarheder”, der påvirker alle leverandører, der har indført IBV-kode (Independent BIOS Developers) i deres Unified Extensible Firmware Interface (UEFI)-firmware.
Binært forklarede sårbarhederne i et blogindlæg i denne uge, der bekræftede, at “alle disse sårbarheder findes i flere af de store virksomhedsleverandørers økosystemer” inklusive Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel og Bull Atos. CERT/CC bekræftede at Fujitsu, Insyde og Intel var berørt, men efterlod de andre tagget som “ukendte”, og opfordrede alle berørte til at opdatere til den seneste stabile version af firmwaren.
Ifølge bloggen er størstedelen af de afslørede sårbarheder førte til kodekørsel med SMM-rettigheder og havde en alvorlighedsgrad på mellem 7,5 – 8,2.
“Hovedårsagen til problemet blev fundet i referencekoden forbundet med InsydeH2O-firmwarerammekoden. Alle de førnævnte leverandører brugte Insyde-baseret firmware-SDK til at udvikle deres stykker firmware,” skrev Binarly.
“Vi havde en kort diskussion med Fujitsu PSIRT og kom til den konklusion, at vi skulle rapportere alle disse problemer til CERT/CC for at føre en branchedækkende offentliggørelse. Sådan blev VU#796611 oprettet og hvordan binært samarbejde med CERT/CC begyndte i september 2021.”
De roste Fujitsu, Intel og andre for at reagere hurtigt og løse sårbarhederne. UEFI-udbyderen Insyde Software sagde, at det arbejdede sammen med Binarly for at løse sårbarhederne og har udgivet firmwareopdateringer til alle de anførte problemer.
“Vi er yderst taknemmelige for Binarlys arbejde med at opdage de punkter, der er beskrevet i dagens offentliggjorte sikkerhedsoplysninger,” sagde Tim Lewis, CTO hos Insyde Software tirsdag.
“Vi satte pris på Insyde Softwares hurtig og professionel respons på resultaterne af vores analyse af deres firmware,” sagde Alex Matrosov, grundlægger og administrerende direktør for Binarly.
Sårbarhederne spores som CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-40281, CVE-12028, CVE-12028, CVE-12028 -41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-432211, CVE-432231, CVE-432211 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-20292-2406>.
“En lokal hacker med administrative rettigheder (i nogle tilfælde en fjernangriber med administrative rettigheder) kan bruge ondsindet software til at udføre et af følgende: Ugyldiggøre mange hardwaresikkerhedsfunktioner (SecureBoot, Intel BootGuard), Iinstallere vedvarende software, der ikke let kan slettes og skabe bagdøre og tilbagekommunikationskanaler for at eksfiltrere følsomme data,” forklarede CERT/CC.
Mike Parkin, ingeniør hos Vulcan Cyber, sagde, at enhver sårbarhed, der lader en angriber manipulere eller ændre et systems BIOS, kan have potentielt ødelæggende konsekvenser.
“Heldigvis kræver angrebet beskrevet her privilegeret adgang til at udføre. Dette er ikke ualmindeligt med BIOS-angreb, da de kræver et vist niveau af privilegier eller fysisk adgang for at implementere. Men det betyder ikke, at vi kan ignorere dem. For en trusselsaktør , værdien af at indlejre ondsindet kode i BIOS gør indsatsen umagen værd,” sagde Parkin.
“Problemet vil være at identificere alle de systemer, der er berørt af disse sårbarheder og udrulle opdateringerne, når de er tilgængelige fra leverandøren. System BIOS-opdateringer er ofte mere involverede og tidskrævende end en simpel systempatch, som gør at finde og rette dem alt sammen noget udfordrende.”
Viakoo CEO Bud Broomhead bemærkede, at problemet lignede nylige open source-sårbarheder som Log4j, PwnKit og andre, fordi sårbarheder, der findes inden for UEFI-laget fra Insyde, er vanskelige hurtigt at lappe i skala på grund af de mange producenter, der hver især skal producere. og distribuer en patch til slutbrugeren.
Det er så op til slutbrugeren, hvor hurtigt patchen installeres, sagde Broomhead. Medmindre de er rettet, giver disse sårbarheder en direkte vej for trusselsaktører til at implementere malware i OS-laget eller endda mure enhederne, tilføjede han.
“Denne offentliggørelse forstærker behovet for at sikre, at alle aktiver hurtigt kan lokaliseres gennem en automatiseret opdagelses- og trusselsvurderingsløsning, efterfulgt af en automatiseret metode til at patche eller opgradere systemets firmware. Behovet for hurtigt at patche flere former for enheder (IT, IoT) , OT, ICS osv.) er nu langt ud over enhver organisations evne til manuelt at implementere sikkerhedsrettelser,” sagde Broomhead.
“Organisationer vil håndtere dette i et stykke tid; fordi flere systemproducenter, der bruger Insyde UEFI, er påvirket af dette, er der sandsynligvis mange enheder i forsyningskæden, der vil blive leveret i løbet af de næste par måneder til slutbrugere . Organisationer bliver nødt til at gense, hvordan de klargør og indsætter nye enheder for at sikre, at de ikke fortsætter med at distribuere enheder, der let kan udnyttes af cyberkriminelle.”
Sikkerhed
Usikret AWS-server afsløret 3TB i lufthavnsmedarbejdernes optegnelser Sådan finder og fjerner du spyware fra din telefon Microsoft: Sådan stoppede vi det største DDoS-angreb nogensinde. Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Enterprise Software | Sikkerheds-tv | Datastyring | CXO | Datacentre