Iscriviti al nostro nuovo canale YouTube, attiva le notifiche e rimani aggiornato su tutti i nuovi video

PixieFail, nove vulnerabilità a carico di UEFI: potenziale pericolo per datacenter e cloud

PixieFail, nove vulnerabilità a carico di UEFI: potenziale pericolo per datacenter e cloud

Le vulnerabilità consentono di installare malware a livello firmware, rendendolo non riscontrabile una volta avviato il sistema operativo. E' sufficiente un accesso di basso livello alla rete per poter sfruttare PixieFail

di pubblicata il , alle 17:31 nel canale Security
 

Il firmware UEFI di cinque dei principali fornitori è affetto da una serie di vulnerabilità che insieme consentono ad un aggressore con già un piede all'interno di una rete, di infettare i dispositivi connessi con malware capace di operare a livello firmware.

I ricercatori di Quarkslab hanno battezzato collettivamente queste vulnerabilità con il nome di PixieFail e rappresentano una minaccia per i datacenter e per gli allestimenti cloud. Chiunque possa avere un accesso minimo ad una rete di quel tipo, ad esempio anche un semplice utente pagante, un dipendente a basso livello o un malintenzionato già all'interno di un'infrastruttura, può sfruttare le vulnerabilità per infettare i dispositivi connessi con un UEFI dannoso.

L'UEFI, acronimo di Unified Extensible Firmware Interface, è il responsabile dell'avvio dei sistemi PC di oggi e funge da interfaccia tra hardware e sistema operativo: nel caso in cui un firmware dannoso venga installato e quindi eseguito prima del sistema operativo, non è possibile rilevare la sua presenza - e nemmeno rimuoverlo - utilizzando strumenti antivirus e di sicurezza endpoint convenzionali. Questo tipo di minacce permettono inoltre di acquisire un controllo particolarmente esteso sul dispositivo infetto.

PixieFail, attenzione a Preboot Execution Environment quando opera con IPv6

Le vulnerabilità che compongono PixieFail sono nove e a carico di TianoCore EDK II, un'implementazione open source di UEFI che viene utilizzata da Arm, Insyde, AMI, Phoenix Tecnologies e Microsoft. Si tratta di falle relative al sistema di indirizzi IPv6 che possono essere sfruttate nel Preboot Execution Environment (PXE) quando è configurato per utilizzare quel protocollo.

PXE viene spesso soprannominato Pixieboot o netboot ed è un meccanismo utilizzato per avviare un elevato numero di dispositivi all'interno di un ampio parco macchine: la situazione più comune è quella di numerosi server all'interno di datacenter. Si tratta di un sistema pensato per garantire facilità d'uso, uniformità e standard qualitativi omogenei all'interno di datacenter e ambienti cloud.

Con PXE il sistema operativo non è archiviato sul dispositivo, ma in un server centrale che prende il nome di server di avvio. Quando i dispositivi vengono avviati individuano il server di avvio tramite il protocollo Dynamic Host Configuration Protocol e inviano una richiesta per ottenere l'immagine del sistema operativo. In questo modo ogni volta che sia necessario riconfigurare o aggiornare il sistema operativo, sarà sufficiente farlo una volta sola, così che i server connessi eseguano tutti la stessa versione ogni volta che si avviano.

Le vulnerabilità PixieFail consentono ad un attaccante di indurre i server a scaricare un'immagine firmware dannosa anziché quella prevista. In uno scenario di questo tipo l'immagine dannosa avrà lo scopo di stabilire un punto d'accesso permanente sul dispositivo installato prima che venga caricato il sistema operativo e, dopo di esso, qualsiasi altro software di sicurezza che normalmente rileverebbe quel tipo di attività non autorizzata.

E' importante notare, come già accennato in precedenza, che per sfruttare PixieFail è sufficiente avere la possibilità di visualizzare e acquisire il traffico di rete e questo è possibile con un qualsiasi accesso a basso livello, come può essere quello di un account legittimo ad un servizio cloud. Chiaramente, però, PixieFail può essere sfruttata solo se il meccanismo PXE è attivo e configurato per usare il routing IPv6. Normalmente PXE viene utilizzato, per le sue peculiarità, solamente all'interno di datacenter e ambienti cloud, mentre normalmente nei sistemi singoli non è attivo.

I fornitori di UEFI stanno lavorando per realizzare patch correttive da inviare ai clienti, che a loro volta le distribuiranno agli utenti finali. Come dicevamo, tuttavia, si tratta di un problema di maggior interesse per amministratori di rete e di datacenter, dato che difficilmente il singolo utente utilizza la funzione PXE su un dispositivo singolo.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
destroyer8518 Gennaio 2024, 19:51 #1
Se uno dovesse essere in grado di sfruttare questa falla vuol dire che non solo ha già accesso alla tua rete ma che la può manipolare come gli pare, e questa falla sarebbe l'ultimo dei tuoi problemi.
!fazz19 Gennaio 2024, 08:52 #2
accesso a basso livello con un qualsiasi abbonamento ad un servizio cloud?

la vedo abbastanza difficile con un aws / azure gcp di turno col cavolo che arrivi a manipolare i pacchetti di rete a basso livello,

ok che è un attacco abbastanza pericoloso ma richiede una serie di condizioni molto specifiche (sono 9 vulnerabilità in sequenza)
la cosa pericolosa è che alcune sono av:a e ui:n ma ottenere questo con un classico cloud viene difficile non si ha accesso così a basso livello

è più pericolosa per un datacenter privato (la classica sala macchine) o per server fisici hostati) ma su un cloud dove tutto è virtualizzato la vedo molto ma molto inattaccabile anche perchè non si usa pxe di solito con quelle machine virtuali
destroyer8519 Gennaio 2024, 09:28 #3
Aggiungiamo anche che l'attaccante dovrebbe avere qualcosa da avviare firmato digitalmente valido per il boot con il secure boot abilitato, e che si basa sul IPv6 che nelle reti locali è tutt'altro che comune.
v10_star19 Gennaio 2024, 14:12 #4
Originariamente inviato da: Redazione di Hardware Upgrade
Quando i dispositivi vengono avviati individuano il server di avvio tramite il protocollo Dynamic Host Configuration Protocol


e usiamoli 'sti acronimi, dai su

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^