Binarli je objasnio propuste u postu na blogu ove nedelje, potvrđujući da se „sve ove ranjivosti nalaze u nekoliko velikih ekosistema dobavljača preduzeća“, uključujući Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel i Bull Atos. CERT/CC je potvrdio da su Fujitsu, Inside i Intel pogođeni, ali su ostali označeni kao „nepoznati“, pozivajući sve na koje se to odnosi da ažuriraju na najnoviju stabilnu verziju firmvera.
Prema blogu, većina otkrivenih ranjivosti dovela je do izvršavanja koda sa SMM privilegijama i imale su ocene ozbiljnosti između 7,5 – 8,2.
„Osnovni uzrok problema je pronađen u referentnom kodu povezanom sa kodom okvira firmvera InsideH2O. Svi gorepomenuti dobavljači su koristili SDK za firmver zasnovan na Insideu za razvoj svojih delova firmvera“, napisao je Binarli.
„Imali smo kratku diskusiju sa Fujitsu PSIRT-om i došli do zaključka da bi trebalo da prijavimo sva ta pitanja CERT/CC-u kako bismo vodili otkrivanje u celoj industriji. Ovako je kreiran VU#796611 i tako je Binarli saradnja sa CERT/CC-om počela u septembru 2021.”
Oni su pohvalili Fujitsu, Intel i druge što su brzo reagovali i rešili ranjivosti. UEFI provajder Inside Software rekao je da je radio sa Binarli-jem na rešavanju ranjivosti i da je objavio ažuriranja firmvera za sve navedene probleme.
„Izuzetno smo zahvalni na Binarli-jevom radu u otkrivanju stavki navedenih u danas objavljenim bezbednosnim otkrićima“, rekao je Tim Luis, tehnički direktor kompanije Inside Software u utorak.
„Cenimo brz i profesionalan odgovor Inside Softvare-a na rezultate naše analize njihovog firmvera“, rekao je Aleks Matrosov, osnivač i izvršni direktor Binarli-a.
Ranjivosti se prate kao CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-418202, CVE-2032, CVE-201-33626 -41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-4-2021-, CVE-3221 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2069-240.
„Lokalni napadač sa administrativnim privilegijama (u nekim slučajevima udaljeni napadač sa administrativnim privilegijama) može da koristi zlonamerni softver da izvrši bilo šta od sledećeg: da poništi mnoge bezbednosne funkcije hardvera (SecureBoot, Intel BootGuard), da instalira trajni softver koji se ne može lako izbrisati i kreirati pozadinske komunikacione kanale da bi eksfiltrirali osetljive podatke“, objasnio je CERT/CC.
Mike Parkin, inženjer u Vulcan Cyber-u, rekao je da sve ranjivosti koje dozvoljavaju napadaču da manipuliše ili menja BIOS sistema mogu imati potencijalno katastrofalne posledice.
“Srećom, napad opisan ovde zahteva privilegovani pristup za izvršenje. Ovo nije neuobičajeno za BIOS napade jer zahtevaju određeni nivo privilegija ili fizički pristup za implementaciju. Ali to ne znači da ih možemo ignorisati. Za aktera pretnje , vrednost ugrađivanja zlonamernog koda u BIOS čini napor vrednim truda“, rekao je Parkin.
„Problem će biti identifikovanje svih sistema na koje utiču ove ranjivosti i puštanje ažuriranja kada budu dostupna od dobavljača. Ažuriranja sistemskog BIOS-a su često uključena i dugotrajnija od jednostavne sistemske zakrpe, što čini njihovo pronalaženje i popravljanje sve pomalo izazovnim.”
Izvršni direktor Viakooa Bud Broomhead je primetio da je problem sličan nedavnim ranjivostima otvorenog koda kao što su Log4j, PwnKit i druge jer je ranjivosti koje postoje unutar UEFI sloja od Inside-a teško brzo zakrpiti u velikim razmerama zbog mnoštva proizvođača od kojih će svaki morati da proizvede i distribuirati zakrpu krajnjem korisniku.
Tada je na krajnjem korisniku koliko brzo će se zakrpa instalirati, rekao je Broomhead. Osim ako se ne zakrpe, ove ranjivosti obezbeđuju direktan put akterima pretnji da primene zlonamerni softver unutar OS sloja, ili čak da pokvare uređaje, dodao je on, prenosi ZD Net.
Benchmark.
