ネットワーク内の攻撃者がデバイスにマルウェアを感染させることを可能にするUEFIファームウェアの脆弱性「PixieFail」、クラウドとデータセンターにとって大きな問題
IntelによるUEFIのリファレンス実装である「TianoCore EDK II」において、合計9個の脆弱(ぜいじゃく)性が発見されました。一連の脆弱性はまとめて「PixieFail」と名付けられており、この脆弱性を利用することでネットワークに侵入した攻撃者がネットワーク内のデバイスをファームウェアレベルのマルウェアに感染させることができると述べられています。
PixieFail: Nine vulnerabilities in Tianocore's EDK II IPv6 network stack.
https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html
UEFIはOSが起動する前段階に実行されるプログラムです。下記の記事に詳しい情報が記載されています。
PC起動時に動作するBIOSに取って代わる「UEFI」とはいったい何なのか? - GIGAZINE
データセンターやHPCの分野では大量のサーバーをセットアップする必要があるため、ネットワークブートを使用して起動時にネットワークからOSイメージをロードするのが一般的です。こうしたネットワークブート機能を提供するため、UEFIにはIP通信の機能が備わっています。
コンピューターをネットワーク経由でブートするための標準仕様はIntelが1998年に開発したPreboot eXecution Environment(PXE)で、UEFIにもPXEが組み込まれています。2010年にUEFIバージョン2.2がリリースされ、IPv6を使用したPXEがサポートされました。今回脆弱性が発見されたのはこのIPv6によるPXEの実装部分とのこと。
PixieFailの脆弱性を悪用すると、攻撃者はサーバーに悪意のあるファームウェアイメージをダウンロードできます。OSやセキュリティソフトウェアよりも先に悪意のあるファームウェアがインストールされるため、攻撃者はマシンに対して永続的な足掛かりを確保できてしまうとのこと。PixieFailを報告した研究チームは概念実証コードも公開しています。
攻撃を行うのに悪意のあるサーバーを確立したり高レベルの権限を取得したりする必要はなく、ローカルネットワークへアクセスしてパケットを送受信できればOKで、物理的なアクセスは不要と述べられています。ただし、PixieFailの攻撃対象はIPv6経由でPXEを使用したネットワークブートを行うデバイスのため、多くの一般ユーザーは対象外となっています。
なお、PixieFailを構成している9つの脆弱性のリストは下記の通りです。
◆CVE-2023-45229
DHCPv6アドバタイズメッセージに含まれる構成を処理する際の整数アンダーフロー。危険性の度合いを示すCVSS基本値は10点満点中6.5です。
◆CVE-2023-45230
DHCPv6クライアントでのバッファオーバーフロー。PXEで「要請・アドバタイズ」交換として知られている処理中に、長すぎるサーバーIDオプションを選択することによって悪用される可能性があります。CVSS基本値は8.3です。
◆CVE-2023-45231
ネットワーク検出フェーズ中に発生する可能性のある境界外読み取り。CVSS基本値は6.5です。
◆CVE-2023-45232
Destination Optionsヘッダー内の不明なオプションを解析するときに無限ループが発生します。CVSS基本値は7.5です。
◆CVE-2023-45233
Destination OptionsヘッダーのPadNオプションを解析するときに無限ループが発生します。CVSS基本値は7.5です。
◆CVE-2023-45234
DHCPv6アドバタイズメッセージのDNSサーバーオプションを処理するときにバッファオーバーフローが発生します。CVSS基本値は8.3です。
◆CVE-2023-45235
DHCPv6プロキシアドバタイズメッセージからのサーバーIDオプションを処理するときにバッファオーバーフローが発生します。CVSS基本値は8.3です。
◆CVE-2023-45236
予測可能なTCP初期シーケンス番号。CVSS基本値は5.7です。
◆CVE-2023-45237
弱い擬似乱数ジェネレーターの使用。CVSS基本値は5.3です。
・関連記事
スラッシュの有無だけでセキュリティにとんでもない大穴が空いてしまうNginxのありがちな設定ミスについて実例を踏まえて専門家が解説 - GIGAZINE
善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表 - GIGAZINE
「PCが危険な状態です」などのウソで詐欺に誘導する偽セキュリティ警告画面の閉じ方を学べるサイトが公開されたので使ってみた - GIGAZINE
Appleはハードウェアのセキュリティ強化のために自らデバイスのハッキングを行っている - GIGAZINE
ハッカーがTwitterやGitHubでセキュリティ研究者になりすましてWindowsやLinuxにマルウェアを感染させる「偽の概念実証エクスプロイト」を公開している - GIGAZINE
・関連コンテンツ