‘PKfail’ olarak adlandırılan kritik bir güvenlik açığı, yüzlerce cihaz modelinde Güvenli Önyükleme sürecindeki güvenlik açıklarını açığa çıkararak, aygıt yazılımı tedarik zincirinde büyük bir zayıflığı ortaya çıkardı. Bu kusur, üretim cihazlarında test Platform Anahtarlarının (PK) kötüye kullanılmasından kaynaklanıyor ve saldırganların Güvenli Önyükleme korumalarını atlatmasına olanak tanıyor.
Platform güvenliğinin temel taşı olan Güvenli Önyükleme, önyükleme süreçlerinin bütünlüğünü doğrulamak için kriptografik anahtarlara güvenir. Ancak araştırmacılar, birçok üreticinin kendi güvenli anahtarlarını üretmek yerine Bağımsız BIOS Satıcıları (IBV’ler) tarafından sağlanan güvenilmeyen anahtarları kullandığını ortaya çıkardı.
PKfail’in Kapsamı ve Etkisi
Binarly REsearch Ekibi’nin büyük cihaz satıcılarından gelen donanım yazılımı görüntülerinin analizi endişe verici istatistikler ortaya koydu. Veri setlerindeki donanım yazılımı görüntülerinin %10’undan fazlasının güvenilmeyen Platform Anahtarları kullandığını ve yaklaşık 900 cihaz modelinin Mayıs 2012’den Haziran 2024’e kadar 12 yıldır cihazlarda bulunan güvenlik açığından etkilendiğini keşfettiler.
Güvenlik açığının etkileri ciddi olabilir, çünkü tehlikeye atılmış özel anahtarlara erişen saldırganlar Güvenli Önyüklemeyi atlatabilir ve bu da önyükleme işlemi sırasında kötü amaçlı kod çalıştırmalarına olanak tanır. Bu güvenlik açığı hem x86 hem de ARM cihazlarını etkiler ve bu da onu bir çapraz silikon sorunu haline getirir.
2023’te araştırma ekibi, Intel tarafından referans kodlarında dağıtılan Intel Boot Guard’dan sızdırılan özel anahtarların üretimde kullanılmasıyla önemli bir tedarik zinciri güvenlik olayı keşfetti. Ekip ayrıca American Megatrends International’dan (AMI) Platform Key (PK) adı verilen Güvenli Önyükleme “ana anahtarı” ile ilgili özel anahtarın bir veri sızıntısında kamuya açıklandığını buldu.
Bu anahtara karşılık gelen cihazlar hala sahada konuşlandırılmıştır ve anahtar yakın zamanda piyasaya sürülen kurumsal cihazlarda da kullanılmaktadır. Bu güvenlik açığı saldırganların Güvenli Önyüklemeyi atlatmasına ve önyükleme işlemi sırasında kötü amaçlı kod çalıştırmasına olanak tanır ve bu da aygıt yazılımından işletim sistemine kadar tüm güvenlik zincirini tehlikeye atar.
Tehditleri Azaltma ve Tedarik Zincirini Ele Alma
PKfail sorunu, zayıf kriptografik malzeme yönetimi, üretim dışı kriptografik anahtarların kullanımı ve platform güvenlik kriptografik anahtarlarının ürün hattı başına dönüşümünün olmaması gibi cihaz tedarik zinciri güvenliğiyle ilgili birden fazla güvenlik sorununu vurgulamaktadır.
Bu riskleri azaltmak için cihaz satıcıları, güvenli anahtar oluşturma ve yönetimi de dahil olmak üzere daha güçlü şifreleme uygulamaları uygulamalıdır. Kullanıcılar, aygıt yazılımı güncellemeleri için tetikte olmalı ve güvenlik yamalarını derhal uygulamalıdır. Araştırmacılar, cihazların PKfail’den etkilenip etkilenmediğini kontrol etmek için ücretsiz bir web sitesi API’si sağlamıştır.