una cadena de 9 vulnerabilidades en el entorno de ejecución previo al arranque de UEFI (PXE), apodado PixieFail, fue descubierto en una investigación reciente. Como el proceso de arranque de red es un vector de ataque bastante novato, sólo unas pocas vulnerabilidades recibieron el estado de gravedad alta. No obstante, su gran volumen, junto con la ubicación en lugares bastante sensibles, puede crear un desastre si alguien logra explotar esas vulnerabilidades en una cadena.
Los analistas descubren numerosas vulnerabilidades en TianoCore EDK II
La extensa investigación de Quarklabs revela el gran total de nueve vulnerabilidades presente en una implementación UEFI ampliamente utilizada de TianoCore, llamado EDK II. Esta variante de código abierto de EFI unificado está teniendo aplicaciones particularmente importantes en varias corporaciones., tanto en sus propias máquinas como en productos. Entre otras funciones, Contiene una opción de arranque en red y una gran cantidad de funciones relacionadas., cuál es dónde todas las vulnerabilidades estan concentrados.
El arranque de red en sí tiene que ver con un Entorno de ejecución previo al arranque (PXE), a menudo abreviado como bota Pixie. Este lugar es, eventualmente, el anfitrión de los nueve fallos de seguridad. No todas las vulnerabilidades de la colección PixieFail son de la máxima gravedad, pero para 3 de ellos, NIST asignó el puntuación CVSS de 8.3/10.
Lista de vulnerabilidades de PixieFail
Vulnerabilidad | Puntuación de gravedad | Descripción |
---|---|---|
CVE-2023-45229 | 6.5 | Datos fuera de límites leídos con un mensaje publicitario DHCPv6 diseñado |
CVE-2023-45230 | 8.3 | Posibilidad de desbordamiento del búfer mediante una opción de ID de servidor diseñada |
CVE-2023-45231 | 6.5 | Datos fuera de límites leídos con un mensaje de redireccionamiento ND específicamente diseñado |
CVE-2023-45232 | 7.5 | Posibilidad de lanzar la máquina a un bucle de arranque infinito con un encabezado de opción de Destino incorrecto |
CVE-2023-45233 | 7.5 | Posibilidad de lanzar la máquina a un bucle de arranque infinito con una opción PadN incorrecta |
CVE-2023-45234 | 8.3 | Posibilidad de desbordamiento del búfer mediante una opción de servidores DNS diseñada |
CVE-2023-45235 | 8.3 | Posibilidad de desbordamiento del búfer mediante una opción de ID de servidor diseñada desde DHCPv6 Publicar mensaje |
CVE-2023-45236 | 5.8 | Previsibilidad del número de secuencia inicial de TCP |
CVE-2023-45237 | 5.3 | Debilidad del generador de números pseudoaleatorios |
Como se puede ver, la lista es bastante amplia, con vulnerabilidades de desbordamiento del buffer clasificado como el más grave. Todo esto se debe a que tales fallas pueden obligar a la ejecución de código arbitrario.. Esta acción es útil tanto para el acceso inicial como para el movimiento lateral dentro del entorno.. Y ya que estamos hablando de hacer todo este lío casi sobre metal desnudo, los resultados pueden ser bastante malos.
Los proveedores ofrecen parches para las vulnerabilidades de PixieFail
Al detectar las vulnerabilidades a principios de agosto 2023, Quarkslab se puso en contacto con una selección de proveedores de software que utilizan EDK II en sus productos. Entre ellos se encuentran nombres tan conocidos como Arm, Software interno, Microsoft, Megatendencias americanas y tecnologías Phoenix. A lo largo de medio año, ambos proveedores, autoridades e investigadores explicaron cómo crear una solución sin filtrar ninguna información antes de que se implementen las correcciones.
Como resultado, en enero 16, 2024, cuando se publicó el análisis detallado de Qarkslab, todos los proveedores notificados solucionaron el problema. Así que, Consulte las actualizaciones de su firmware; es posible que contiene el parche que arregla PixieFail de una vez.