Toplu olarak 'Pixiefail' olarak adlandırılan dokuz güvenlik açığı kümesi, Tianocore'un EDK II'nin IPv6 Ağ Protokol yığınını, kurumsal bilgisayarlarda ve sunucularda yaygın olarak kullanılan UEFI spesifikasyonunun açık kaynak referans uygulamasını etkiler.
Kusurlar, veri merkezlerinde ve yüksek performanslı bilgi işlem ortamlarında işletim sistemlerinin sağlanması için çok önemli olan PXE ağ önyükleme işleminde ve bottaki ağdan OS görüntülerini yüklemek için standart bir prosedür.
Pixiefail kusurları, QuarksLab araştırmacıları tarafından keşfedildi ve CERT/CC ve CERT-FR tarafından koordineli bir çaba ile etkilenen satıcılara zaten açıklanmıştı.
Pixiefail güvenlik açıkları, UEFI spesifikasyonunun bir parçası olan Ön Boz yürütme ortamında (PXE) IPv6'nın uygulanmasından kaynaklanır.
PXE, ağ önyüklemesini sağlar ve IPv6 uygulaması, saldırı yüzeyini artırarak ek protokoller getirir.
Pixiefail saldırıları, hizmet reddine (DOS), bilgi açıklamasına, uzaktan kod yürütülmesine (RCE), DNS önbellek zehirlenmesi ve ağ oturumu kaçırmaya neden olmak için bir ağda yerel olarak kullanılabilen dokuz kusurdan oluşur.
Aşağıda dokuz pixiefail kusurunun bir özeti:
Yukarıdakilerden en şiddetli olanı, saldırganların uzaktan kod yürütülmesine izin veren ve muhtemelen tam sistem uzlaşmasına yol açan CVE-2023-45230 ve CVE-2023-45235'tir.
Parterslab, yöneticilerin ağlarındaki savunmasız cihazları tespit etmesine izin veren kavram kanıtı (POC) istismarları yayınladı.
Pixiefail güvenlik açıkları, büyük teknoloji şirketleri ve BIOS sağlayıcıları da dahil olmak üzere NetworkPKG modülünü kullanan Tianocore'un EDK II UEFI uygulamasını ve diğer satıcıları etkiler.
PartowsLab'a göre buna Arm Ltd., Insyde Software, American Megatrends Inc. (AMI), Phoenix Technologies Inc. ve Microsoft Corporation dahildir. CERT/CC'nin Güvenlik Danışmanlığı da Intel'in etkilendiğini belirtiyor.
EDK2 paketi Chromeos'un kaynak kodu ağacına dahil olmasına rağmen, Google bunun Chromebook'larda kullanılmadığını ve Pixiefail kusurlarından etkilenmediğini belirtti.
CERT/CC'ye ilk açıklama 3 Ağustos 2023'te gerçekleşti ve açıklama son tarihi 90 günlük işarette 2 Kasım 2023'e ayarlandı.
Birden fazla satıcının karşılaştığı sorunların düzeltilmesindeki karmaşıklıklar nedeniyle, CERT/CC açıklama tarihini başlangıçta 1 Aralık 2023 ve daha sonra 16 Ocak 2024'e kadar birçok kez taşıdı.
Yine de, bazıları daha büyük bir erteleme istedi, Microsoft hedef tarihin Mayıs 2024'e taşınmasını istedi.
Şu anda, çoğu satıcı yaması test/doğrulanmamış bir durumdadır ve Tianocore ilk yedi güvenlik açığı için düzeltmeler sağlamıştır.
Logofail Saldırısı UEFI BootKits'i önyükleme logoları aracılığıyla yükleyebilir
AMD, Apple, Qualcomm GPUS Leak AI verileri Lontoverlocals saldırılarında
Github, kimlik bilgilerini açığa vuran kusurun etkisini azaltmak için anahtarları döndürür
Atlassian, eski Confluence sürümlerinde kritik RCE kusurunu uyarıyor
Kritik Sonicwall Güvenlik Duvarı Yaması Tüm cihazlar için yayınlanmadı
Kaynak: Bleeping Computer