Problema este creșterea excesivă a capacității cercetătorilor de a gestiona eficient
Facepalm: Analiștii binar au emis un nou avertisment la doar câteva luni după ce au dezvăluit o problemă de securitate legată de cheile de platformă compromise utilizate pentru a impune protecția Secure Boot. Problema PKfail afectează un număr semnificativ mai mare de dispozitive și mărci și nu se limitează la produsele firmware dezvoltate de AMI.
Incidentul PKfail a șocat industria computerelor, expunând un defect profund ascuns în nucleul infrastructurii firmware moderne. Cercetătorii care au descoperit problema au revenit cu date noi, oferind o evaluare mai realistă a stării actuale a securității firmware-ului. Potrivit acestora, situația este îngrozitoare, iar industria trebuie să treacă printr-un efort important de modernizare.
La sfârșitul lunii august 2024, PKfail a primit în sfârșit un ID de urmărire în sistemul CVE. Defectul CVE-2024-8105 descrie o vulnerabilitate critică a lanțului de aprovizionare care afectează firmware-ul UEFI și Secure Boot (SB). „Cheia principală” folosită pentru a proteja procesul de pornire securizată de codul neîncrezător, cunoscută și sub denumirea de „Cheie de platformă” (PK), servește ca ancoră principală pentru SB Root of Trust.
Analiștii binar au descoperit că un PK compromis a fost scurs și partajat pe GitHub în 2022. În plus, producătorii de computere au folosit chei de testare marcate „NU ÎNCREDE” în certificatele lor pentru a semna versiuni de firmware care au fost ulterior livrate în produsele finale. Principalii producători de dispozitive – inclusiv Dell, Acer, Gigabyte, Intel, Supermicro, HP, Lenovo și alții – folosesc aceste chei inerent nesigure de ani de zile, fără ca nimeni să fie conștient de această problemă.
După ce a dezvăluit fiasco-ul PKfail, Binarly a lansat serviciul de detectare pk.fail, permițând clienților să-și verifice propriile imagini de firmware. Conform celor mai recente date de la compania de securitate, peste 10.000 de imagini unice de firmware au fost încărcate în serviciu până acum. Aceste teste au ajutat la identificarea a 791 de versiuni de firmware defecte care conțin o cheie de platformă neîncrezătoare, cu o rată de vulnerabilitate estimată la 8,5%.
Serviciul gratuit de detectare a permis, de asemenea, lui Binarly să descopere adevărata amploare a incidentului PKfail. În timp ce versiunile de firmware de la AMI încă reprezentau majoritatea produselor vulnerabile, imaginile firmware noi, necunoscute anterior de la alți producători, cum ar fi Insyde și Phoenix, au fost, de asemenea, afectate.
Pe lângă desktop-uri, servere și laptop-uri, cercetătorii Biarly au descoperit chei de firmware PKfail și non-producție în locuri neașteptate, inclusiv aparate de vot, dispozitive medicale, console de jocuri, bancomate și terminale POS. Cea mai des folosită cheie a fost cea care s-a scurs „accidental” pe GitHub în 2022, dar serviciul pk.fail a descoperit și alte patru chei nede încredere care au rămas nedetectate anterior.
Infractorii cibernetici și hackerii sponsorizați de stat ar putea exploata aceste chei nesigure pentru a semna rootkit-uri periculoase și instrumente de spionaj capabile să ocolească protecțiile Secure Boot. „Complexitatea lanțului de aprovizionare crește excesiv capacitatea noastră de a gestiona eficient riscurile asociate cu furnizorii terți”, a remarcat Binarly. Cu toate acestea, aceste riscuri pot fi atenuate dacă industria tehnologică adoptă o filozofie de dezvoltare sigură prin proiectare.