10 satıcıdan yüzlerce UEFI ürünü, PKFail olarak bilinen kritik bir ürün yazılımı tedarik zinciri sorunu nedeniyle, saldırganların güvenli önyükleme ve kötü amaçlı yazılım yüklemesine izin veren kritik bir ürün yazılımı tedarik zinciri sorunu nedeniyle uzlaşmaya karşı hassastır.
Binarly araştırma ekibinin bulduğu gibi, etkilenen cihazlar, "güvenmeyin" olarak etiketlenen American Meegatrends International (AMI) tarafından üretilen ve yukarı akış satıcıları tarafından üretilen bir test güvenli bot "ana anahtar" kullanır. Kendi güvenli oluşturulan anahtarlarıyla değiştirilmelidir.
Binarly araştırma ekibi, "Güvenli önyükleme veritabanlarını yöneten ve ürün yazılımından işletim sistemine güven zincirini koruyan bu platform anahtarı, genellikle OEM'ler veya cihaz satıcıları ile değiştirilmez, bu da güvenilmeyen anahtarlarla cihazların gönderilmesine neden olur." Dedi.
813 üründe güvenilmeyen test anahtarlarını kullanan UEFI cihaz üreticileri arasında Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo ve Supermicro bulunmaktadır.
Mayıs 2023'te Binarly, Intel Boot Guard'dan sızdırılmış özel anahtarları içeren ve birden fazla satıcıyı etkileyen bir tedarik zinciri güvenlik olayı keşfetti. BleepingComputer tarafından ilk olarak bildirildiği gibi, para mesajı gasp çetesi, şirketin anakartları tarafından kullanılan ürün yazılımı için MSI kaynak kodunu sızdırdı.
Kod, 57 MSI ürünleri için özel anahtarları imzalayan görüntü içeriyordu ve başka bir 116 MSI ürünü için Intel Boot Guard Özel Anahtarlar.
Bu yılın başlarında, Amerikan Megatrends International'dan (AMI) güvenli önyükleme "ana anahtarı" ile ilgili özel bir anahtar da sızdırıldı ve çeşitli kurumsal cihaz üreticilerini etkiledi. Etkilenen cihazlar hala kullanılmaktadır ve anahtar yakın zamanda yayınlanan kurumsal cihazlarda kullanılmaktadır.
Binarly'nin açıkladığı gibi, bu sorunun başarılı bir şekilde kullanılması, savunmasız cihazlara erişimi olan tehdit aktörlerini ve platform anahtarının özel kısmının, anahtar değişim anahtarı (KEK) veritabanını, imza veritabanını (DB) ve Yasak İmza'yı manipüle ederek güvenli botu atlamasına izin verir. Veritabanı (DBX).
Tüm güvenlik zincirinden ödün verdikten sonra, ürün yazılımından işletim sistemine kadar, CosmicStrand ve Blacklotus gibi UEFI kötü amaçlı yazılımları dağıtmalarını sağlayan kötü amaçlı kod imzalayabilirler.
Binarly, "PKFail'e karşı savunmasız ilk ürün yazılımı Mayıs 2012'de piyasaya sürüldü, en sonun Haziran 2024'te piyasaya sürüldü. Genel olarak, bu tedarik zinciri sorununu 12 yıldan fazla süren türünün en uzun ömüründen biri haline getiriyor." .
"Şu anda yaklaşık 900 cihaz içeren etkilenen cihazların listesi, Brly-2024-005 danışmanlığımızda bulunabilir. Tarama sonuçlarına daha yakından bakmak, platformumuzun 22 benzersiz güvenilmeyen anahtarları çıkardığını ve tanımladığını ortaya koydu."
PKFail'i azaltmak için, satıcıların donanım güvenlik modülleri gibi en iyi uygulamaları izleyerek platform anahtarını oluşturmaları ve yönetmeleri tavsiye edilir.
AMI gibi bağımsız BIOS satıcıları tarafından sağlanan herhangi bir test anahtarının kendi güvenli bir şekilde oluşturulan anahtarlarıyla değiştirmek de önemlidir.
Kullanıcılar, aygıt satıcıları tarafından verilen ürün yazılımı güncellemelerini izlemeli ve PKFail tedarik zinciri sorununu mümkün olan en kısa sürede ele alan güvenlik yamalarını uygulamalıdır.
Binarly ayrıca, kullanıcıların ürün yazılım ikili dosyalarını PKFail-Delnernered cihazlar ve kötü amaçlı yükler bulmak için ücretsiz olarak taramasına yardımcı olan PK.Fail web sitesini de yayınladı.
Phoenix UEFI Güvenlik Açığı Yüzlerce Intel PC Modelini Etkiler
Kritik Exim Bug, 1,5 milyon posta sunucusunda güvenlik filtrelerini atlar
Tedarik Zinciri Saldırısı'nda backdoed WordPress.org adresindeki eklentiler
Cox, bir API Auth Bypass'ı Milyonlarca Modem'i Saldırılara Durdurarak Düzeltti
Kaynak: Bleeping Computer