PixieFail, nove vulnerabilità a carico di UEFI: potenziale pericolo per datacenter e cloud
di Andrea Bai pubblicata il 18 Gennaio 2024, alle 17:31 nel canale SecurityLe vulnerabilità consentono di installare malware a livello firmware, rendendolo non riscontrabile una volta avviato il sistema operativo. E' sufficiente un accesso di basso livello alla rete per poter sfruttare PixieFail
Il firmware UEFI di cinque dei principali fornitori è affetto da una serie di vulnerabilità che insieme consentono ad un aggressore con già un piede all'interno di una rete, di infettare i dispositivi connessi con malware capace di operare a livello firmware.
I ricercatori di Quarkslab hanno battezzato collettivamente queste vulnerabilità con il nome di PixieFail e rappresentano una minaccia per i datacenter e per gli allestimenti cloud. Chiunque possa avere un accesso minimo ad una rete di quel tipo, ad esempio anche un semplice utente pagante, un dipendente a basso livello o un malintenzionato già all'interno di un'infrastruttura, può sfruttare le vulnerabilità per infettare i dispositivi connessi con un UEFI dannoso.
L'UEFI, acronimo di Unified Extensible Firmware Interface, è il responsabile dell'avvio dei sistemi PC di oggi e funge da interfaccia tra hardware e sistema operativo: nel caso in cui un firmware dannoso venga installato e quindi eseguito prima del sistema operativo, non è possibile rilevare la sua presenza - e nemmeno rimuoverlo - utilizzando strumenti antivirus e di sicurezza endpoint convenzionali. Questo tipo di minacce permettono inoltre di acquisire un controllo particolarmente esteso sul dispositivo infetto.
PixieFail, attenzione a Preboot Execution Environment quando opera con IPv6
Le vulnerabilità che compongono PixieFail sono nove e a carico di TianoCore EDK II, un'implementazione open source di UEFI che viene utilizzata da Arm, Insyde, AMI, Phoenix Tecnologies e Microsoft. Si tratta di falle relative al sistema di indirizzi IPv6 che possono essere sfruttate nel Preboot Execution Environment (PXE) quando è configurato per utilizzare quel protocollo.
PXE viene spesso soprannominato Pixieboot o netboot ed è un meccanismo utilizzato per avviare un elevato numero di dispositivi all'interno di un ampio parco macchine: la situazione più comune è quella di numerosi server all'interno di datacenter. Si tratta di un sistema pensato per garantire facilità d'uso, uniformità e standard qualitativi omogenei all'interno di datacenter e ambienti cloud.
Con PXE il sistema operativo non è archiviato sul dispositivo, ma in un server centrale che prende il nome di server di avvio. Quando i dispositivi vengono avviati individuano il server di avvio tramite il protocollo Dynamic Host Configuration Protocol e inviano una richiesta per ottenere l'immagine del sistema operativo. In questo modo ogni volta che sia necessario riconfigurare o aggiornare il sistema operativo, sarà sufficiente farlo una volta sola, così che i server connessi eseguano tutti la stessa versione ogni volta che si avviano.
Le vulnerabilità PixieFail consentono ad un attaccante di indurre i server a scaricare un'immagine firmware dannosa anziché quella prevista. In uno scenario di questo tipo l'immagine dannosa avrà lo scopo di stabilire un punto d'accesso permanente sul dispositivo installato prima che venga caricato il sistema operativo e, dopo di esso, qualsiasi altro software di sicurezza che normalmente rileverebbe quel tipo di attività non autorizzata.
E' importante notare, come già accennato in precedenza, che per sfruttare PixieFail è sufficiente avere la possibilità di visualizzare e acquisire il traffico di rete e questo è possibile con un qualsiasi accesso a basso livello, come può essere quello di un account legittimo ad un servizio cloud. Chiaramente, però, PixieFail può essere sfruttata solo se il meccanismo PXE è attivo e configurato per usare il routing IPv6. Normalmente PXE viene utilizzato, per le sue peculiarità, solamente all'interno di datacenter e ambienti cloud, mentre normalmente nei sistemi singoli non è attivo.
I fornitori di UEFI stanno lavorando per realizzare patch correttive da inviare ai clienti, che a loro volta le distribuiranno agli utenti finali. Come dicevamo, tuttavia, si tratta di un problema di maggior interesse per amministratori di rete e di datacenter, dato che difficilmente il singolo utente utilizza la funzione PXE su un dispositivo singolo.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infola vedo abbastanza difficile con un aws / azure gcp di turno col cavolo che arrivi a manipolare i pacchetti di rete a basso livello,
ok che è un attacco abbastanza pericoloso ma richiede una serie di condizioni molto specifiche (sono 9 vulnerabilità in sequenza)
la cosa pericolosa è che alcune sono av:a e ui:n ma ottenere questo con un classico cloud viene difficile non si ha accesso così a basso livello
è più pericolosa per un datacenter privato (la classica sala macchine) o per server fisici hostati) ma su un cloud dove tutto è virtualizzato la vedo molto ma molto inattaccabile anche perchè non si usa pxe di solito con quelle machine virtuali
e usiamoli 'sti acronimi, dai su
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".