Toplu olarak ‘PixieFail’ olarak adlandırılan dokuz güvenlik açığı, kurumsal bilgisayarlarda ve sunucularda yaygın olarak kullanılan UEFI spesifikasyonunun açık kaynaklı referans uygulaması olan Tianocore EDK II’nin IPv6 ağ protokol yığınını etkiliyor.
Kusurlar, veri merkezlerinde ve yüksek performanslı bilgi işlem ortamlarında işletim sistemlerinin sağlanması için çok önemli olan PXE ağ önyükleme sürecinde ve önyükleme sırasında ağdan işletim sistemi görüntülerinin yüklenmesine yönelik standart bir prosedürde mevcut.
PixieFail kusurları Quarkslab araştırmacıları tarafından keşfedildi ve CERT/CC ve CERT-FR’nin koordineli çalışmasıyla etkilenen satıcılara zaten açıklandı.
PixieFail ayrıntıları
PixieFail güvenlik açıkları, UEFI spesifikasyonunun bir parçası olan Önyükleme Öncesi Yürütme Ortamında (PXE) IPv6’nın uygulanmasından kaynaklanmaktadır.
PXE ağ önyüklemesine olanak tanır ve IPv6 uygulaması ek protokoller sunarak saldırı yüzeyini artırır.
PixieFail saldırıları, hizmet reddine (DoS), bilgilerin açığa çıkmasına, uzaktan kod yürütülmesine (RCE), DNS önbellek zehirlenmesine ve ağ oturumunun ele geçirilmesine neden olmak için bir ağ üzerinde yerel olarak yararlanılabilen dokuz kusurdan oluşur.
Aşağıda dokuz PixieFail kusurunun bir özeti bulunmaktadır:
- CVE-2023-45229: DHCPv6 Reklam mesajlarında IA_NA/IA_TA seçeneklerinin hatalı işlenmesi, tamsayı yetersizliğine ve olası bellek bozulmasına neden olur.
- CVE-2023-45230: DHCPv6’da uzun Sunucu Kimliği seçeneklerinin sorunlu şekilde işlenmesi, arabellek taşmasına izin veriyor ve potansiyel olarak uzaktan kod yürütülmesine veya sistem çökmelerine yol açıyor.
- CVE-2023-45231: Komşu Keşfi (ND) Yönlendirme mesajlarında kısaltılmış seçeneklerin sorunlu şekilde işlenmesi, sınırların dışında okumaya yol açıyor.
- CVE-2023-45232: Bilinmeyen seçeneklerin sonsuz bir döngüyü tetikleyerek hizmet reddine neden olabileceği IPv6 Hedef Seçenekleri başlık ayrıştırmasındaki kusur.
- CVE-2023-45233: IPv6 Hedef Seçenekleri başlığındaki PadN seçeneğinin ayrıştırılmasında sonsuz döngü sorunu.
- CVE-2023-45234: Bir DHCPv6 Reklam mesajında DNS Sunucuları seçeneğini işlerken arabellek taşması sorunu.
- CVE-2023-45235: Bir DHCPv6 proxy Reklam mesajından Sunucu Kimliği seçeneğinin işlenmesinde arabellek taşmasına neden olan güvenlik açığı.
- CVE-2023-45236: EDK II’deki TCP yığını, öngörülebilir Başlangıç Sıra Numaraları oluşturarak TCP oturumu ele geçirme saldırılarına karşı duyarlı hale getirir.
- CVE-2023-45237: Ağ yığınında zayıf bir sözde rastgele sayı oluşturucunun kullanılması, potansiyel olarak çeşitli ağ saldırılarını kolaylaştırır.
Yukarıdakilerin en ciddi olanları CVE-2023-45230 ve CVE-2023-45235’tir; bunlar saldırganların uzaktan kod yürütmesine olanak tanır ve muhtemelen sistemin tamamen tehlikeye girmesine yol açar.
Quarkslab, yöneticilerin ağlarındaki savunmasız cihazları tespit etmesine olanak tanıyan kavram kanıtı (PoC) güvenlik açıklarını yayınladı.
Yaygın etki
PixieFail güvenlik açıkları, Tianocore’un EDK II UEFI uygulamasını ve NetworkPkg modülünü kullanan büyük teknoloji şirketleri ve BIOS sağlayıcıları dahil diğer satıcıları etkiliyor.
Quarkslab’a göre buna Arm Ltd., Insyde Software, American Megatrends Inc. (AMI), Phoenix Technologies Inc. ve Microsoft Corporation dahildir. CERT/CC’nin güvenlik danışma belgesinde de Intel’in etkilendiği belirtiliyor.
EDK2 paketi ChromeOS’un kaynak kod ağacında yer almasına rağmen Google, bunun üretim Chromebook’larında kullanılmadığını ve PixieFail kusurlarından etkilenmediğini belirtti.
CERT/CC’ye ilk açıklama 3 Ağustos 2023’te gerçekleşti ve son açıklama tarihi, 90. gün olarak 2 Kasım 2023 olarak belirlendi.
Birden fazla satıcının karşılaştığı sorunların çözülmesindeki karmaşıklıklar nedeniyle CERT/CC, açıklama tarihini başta 1 Aralık 2023, ardından 16 Ocak 2024 olmak üzere birçok kez erteledi.
Yine de bazıları daha büyük bir erteleme talep ederken, Microsoft hedef tarihin Mayıs 2024’e taşınmasını talep etti.
Şu anda çoğu satıcı yaması test/doğrulanmamış durumda ve Tianocore ilk yedi güvenlik açığı için düzeltmeler sağladı.