Šimtai UEFI produktų iš 10 pardavėjų gali būti pažeisti dėl kritinės programinės įrangos tiekimo grandinės problemos, žinomos kaip PKfail, kuri leidžia užpuolikams apeiti saugų įkrovą ir įdiegti kenkėjiškas programas.
Kaip nustatė „Binarly“ tyrimų komanda, paveiktuose įrenginiuose naudojamas bandomasis saugaus įkrovos „pagrindinis raktas“ – taip pat žinomas kaip platformos raktas (PK), kurį sugeneravo „American Megatrends International“ (AMI), kuris buvo pažymėtas kaip „DO NOT TRUST“ ir kad tiekėjai. turėjo būti pakeisti jų pačių saugiai sugeneruotais raktais.
„Šio platformos rakto, kuris valdo saugaus įkrovos duomenų bazes ir palaiko pasitikėjimo grandinę nuo programinės aparatinės įrangos iki operacinės sistemos, dažnai nepakeičia originalios įrangos gamintojai ar įrenginių pardavėjai, todėl įrenginiai pristatomi su nepatikimais raktais“, – teigė „Binarly Research Team“.
Tarp UEFI įrenginių gamintojų, kurie naudojo nepatikimus bandymo raktus 813 produktų, yra Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo ir Supermicro.
2023 m. gegužę „Binarly“ aptiko tiekimo grandinės saugumo incidentą, kai iš „Intel Boot Guard“ nutekėjo privatūs raktai, paveikę kelis pardavėjus. Kaip pirmą kartą pranešė „BleepingComputer“, „Money Message“ prievartavimo gauja nutekino įmonės pagrindinių plokščių naudojamą programinės įrangos MSI šaltinio kodą.
Kode buvo vaizdo pasirašymo privatūs raktai 57 MSI produktams ir Intel Boot Guard privatieji raktai dar 116 MSI produktų.
Šių metų pradžioje taip pat buvo nutekintas privatus raktas iš American Megatrends International (AMI), susijęs su saugaus įkrovos „pagrindiniu raktu“, kuris paveikė įvairius įmonių įrenginių gamintojus. Paveikti įrenginiai vis dar naudojami, o raktas naudojamas neseniai išleistuose įmonės įrenginiuose.
PKfail poveikis ir rekomendacijos
Kaip paaiškina Binarly, sėkmingai išnaudojus šią problemą, grėsmės veikėjai, turintys prieigą prie pažeidžiamų įrenginių ir privačios platformos rakto dalies, gali apeiti saugų įkrovą manipuliuojant raktų mainų rakto (KEK) duomenų baze, parašų duomenų baze (db) ir uždraustu parašu. Duomenų bazė (dbx).
Pažeidę visą saugos grandinę, nuo programinės įrangos iki operacinės sistemos, jie gali pasirašyti kenkėjišką kodą, kuris leidžia jiems įdiegti UEFI kenkėjiškas programas, tokias kaip CosmicStrand ir BlackLotus.
„Pirmoji programinė įranga, pažeidžiama PKfail, buvo išleista 2012 m. gegužę, o naujausia – 2024 m. birželį. Dėl to ši tiekimo grandinės problema yra viena iš ilgiausiai trunkančių tokio pobūdžio problemų, apimančių 12 metų“, – pridūrė Binarly. .
„Paveiktų įrenginių sąrašą, kuriame šiuo metu yra beveik 900 įrenginių, galite rasti mūsų patarime BRLY-2024-005. Atidžiau pažvelgus į nuskaitymo rezultatus paaiškėjo, kad mūsų platforma ištraukė ir nustatė 22 unikalius nepatikimus raktus.”
Siekiant sumažinti PK nesėkmę, pardavėjams patariama generuoti ir valdyti platformos raktą laikantis geriausios kriptografinių raktų valdymo praktikos, pvz., aparatinės įrangos saugos modulių.
Taip pat labai svarbu visus nepriklausomų BIOS tiekėjų, pvz., AMI, pateiktus testavimo raktus pakeisti savo saugiai sugeneruotais raktais.
Vartotojai turėtų stebėti įrenginių pardavėjų išleistus programinės aparatinės įrangos naujinius ir kuo greičiau pritaikyti visus saugos pataisymus, sprendžiančius PKfail tiekimo grandinės problemą.
Binarly taip pat paskelbė pk.fail svetainę, kuri padeda vartotojams nemokamai nuskaityti programinės aparatinės įrangos dvejetainius failus, kad surastų PKfail pažeidžiamus įrenginius ir kenksmingus krovinius.