UEFI’deki Yıkıcı PixieFail Kusurları – Cihazınız Risk Altında mı?

Tianocore’un EDK II IPv6 ağ yığınındaki dokuz güvenlik açığından oluşan “PixieFail”in yakın zamanda keşfedilmesi, siber güvenlik topluluğunda önemli endişelere yol açtı. Bu güvenlik açıkları, kurumsal sistemlerde yaygın bir özellik olan Önyükleme Öncesi Yürütme Ortamı (PXE) ağ önyükleme sürecini etkilediklerinden kritik öneme sahiptir.

Güvenlik açıkları Quarkslab’daki güvenlik araştırmacıları tarafından keşfedildi. Bunlar öncelikle EDK II’nin ağ yığınını etkiler ve potansiyel olarak saldırganların ağ önyükleme işlemi sırasında rastgele kod çalıştırmasına olanak tanır. Her biri benzersiz riskler ve istismar senaryoları sunan güvenlik açıkları, arabellek taşmalarından hatalı giriş doğrulamaya kadar çeşitlilik gösterir. PXE, kurumsal ağlarda uzaktan önyükleme ve sistem yönetimi için yaygın olarak kullanılır. IPv6 ağ yığınındaki güvenlik açıkları, saldırganların önyükleme işlemi sırasında sistemlerin güvenliğini aşmasına olanak tanıyarak kurumsal güvenliğe önemli bir tehdit oluşturabilir.

Önyükleme Öncesi Yürütme Ortamı (PXE), bilgisayarların bir işletim sistemini (OS) sabit sürücü veya SSD gibi yerel bir depolama aygıtı yerine bir ağ sunucusundan başlatmasına ve yüklemesine olanak tanıyan standartlaştırılmış bir istemci-sunucu arabirimidir. PXE, aynı yapılandırmayla birden fazla sistemin başlatılmasının veya özel bir depolama aygıtı olmadan sistemlerin başlatılmasının gerekli olduğu ortamlarda özellikle kullanışlıdır.

PXE Nasıl Çalışır:

1. Başlatma:
   • PXE ürün yazılımına sahip bir bilgisayar başlatıldığında, ağ arayüzünü başlatır ve Dinamik Ana Bilgisayar Yapılandırma Protokolünü (DHCP) kullanarak ağdaki bir sunucuyla iletişim kurar.
2. DHCP ve IP Adresi Tahsisi:
   • DHCP sunucusu, PXE-etkin istemciye bir IP adresi atar ve ayrıca önyükleme sunucusunun (önyüklenebilir dosyaları içeren bir sunucu) konumunu da sağlar.
3. Önyükleme Sunucusu ve Önyükleme Dosyası:
   • Önyükleme sunucusu genellikle bir Önemsiz Dosya Aktarım Protokolü (TFTP) sunucusudur. DHCP sunucusu, PXE istemcisine TFTP sunucusunun adresini ve indirilecek Ağ Önyükleme Programı (NBP) dosyasının adını bildirir.
4. NBP’yi indirme:
   • PXE istemcisi daha sonra TFTP sunucusuyla iletişim kurar, NBP dosyasını indirir ve çalıştırır. Bu NBP, daha sonra tam işletim sistemini yükleme işlemini başlatacak olan, genellikle temel bir işletim sistemi veya bir önyükleyici olan küçük bir yazılım parçasıdır.
5. İşletim Sisteminin Yüklenmesi:
   • NBP yürütüldükten sonra, yapılandırmaya bağlı olarak ağdan ek bileşenler veya işletim sistemi görüntüsünün tamamını indirebilir. Bu, TFTP veya HTTP veya iSCSI gibi diğer protokoller kullanılarak yapılabilir.
6. İşletim Sistemi Önyüklemesi:
   • Gerekli bileşenler indirildikten sonra NBP, kontrolü işletim sistemine devreder ve işletim sistemi normalde yerel bir depolama aygıtından başlatıldığı gibi önyüklemeye devam eder.

Örnek Senaryo:

Yeni yazılımlarla düzenli olarak güncellenmesi veya yeniden yapılandırılması gereken çok sayıda iş istasyonuna sahip bir şirket düşünün. Şirket, her makineyi manuel olarak güncellemek yerine, iş istasyonlarını merkezi bir sunucudan başlatmak için PXE kullanıyor.

• Sunucu Kurulumu: Şirket, gerekli işletim sistemi görüntüleri ve yapılandırmalarıyla bir TFTP sunucusu kurar.
• İş İstasyonu Önyüklemesi: Her iş istasyonu PXE özelliklidir. Bir iş istasyonu başlatıldığında DHCP sunucusuna bir istek gönderir.
• DHCP Yanıtı: DHCP sunucusu iş istasyonuna bir IP adresi atar ve TFTP sunucusunun ve NBP dosyasının konumunu sağlar.
• İşletim Sistemi Yükleniyor: İş istasyonu NBP’yi TFTP sunucusundan indirir ve bu sunucu da gerekli işletim sistemi ve yazılım yapılandırmalarını doğrudan sunucudan yükler.
• Operasyonel İş İstasyonu: İş istasyonu artık işletim sistemi için herhangi bir yerel depolama gerektirmeden en son yapılandırmayla çalışır durumda.

PXE’nin avantajları:

• Merkezi Yönetim: İşletim sisteminin ve yazılımın merkezi kontrolüne ve dağıtımına izin vererek yönetimi ve güncellemeleri basitleştirir.
• Uygun Maliyetli: Her istemci makinesinde yerel depolama ihtiyacını azaltır.
• Esneklik: Ağ bağlantılı bir ortamda sistemlerin hızla yeniden yapılandırılmasına veya yeniden görüntülenmesine olanak tanır.
• Ölçeklenebilirlik: Birden fazla sistemin dağıtımının ve bakımının rutin olduğu büyük kuruluşlar için idealdir.

Sınırlamalar:

• Ağ Bağımlılığı: Büyük ölçüde ağ altyapısına dayanır. Ağ sorunları sistemlerin başlatılmasını engelleyebilir.
• Güvenlik endişeleri: Önyükleme işlemi, sahte DHCP sunucuları veya ağa yetkisiz erişim gibi saldırılara karşı savunmasız olabilir.

PXE, kurumsal ortamlarda, veri merkezlerinde ve uzaktan iş istasyonu yönetiminde yaygın olarak kullanılır ve birden fazla sistemi yönetmek için akıcı ve verimli bir yol sunar.

Quarkslab’ın blog yazısı, TianoCore’un UEFI’nin açık kaynaklı referans uygulaması olan EDK II’nin IPv6 ağ protokolü yığınını etkileyen dokuz güvenlik açığı hakkında ayrıntılı bilgi sağlıyor. Aşağıda her bir güvenlik açığının özeti verilmiştir:

1. CVE-2023-45229: DHCPv6 Reklam Mesajı İşlemesinde Tam Sayı Eksikliği
   • Bu güvenlik açığı, akıl sağlığı kontrollerinin eksikliğinden kaynaklanmaktadır. IA_NA Ve IA_TA DHCPv6’daki seçenekler Advertise mesajlar. Bu, tamsayı taşmasına neden olabilir ve saldırganların alınan paketin sonundaki belleği okumasına olanak tanır.
2. CVE-2023-45230: DHCPv6 İstemcisinde Uzun Sunucu Kimliği Seçeneği aracılığıyla Arabellek Taşması
   • Bu sorun DHCPv6’da Sunucu Kimliği seçeneği kullanılırken ortaya çıkıyor Request mesajlar. Aşırı büyük Length Sunucu Kimliği seçeneğindeki alan, kontrollü verilerle arabelleğin taşmasına neden olabilir ve bu da olası uzaktan kod yürütülmesine yol açabilir.
3. CVE-2023-45231: ND Yönlendirme Mesajı İşlemesinde Sınır Dışında Okuma
   • Bu güvenlik açığı, Komşu Keşfi (ND) protokolünün işlenmesi sırasında ortaya çıkar. Redirect mesajlar. Bir ND’nin seçenekler bölümündeki tek baytlık kesik seçenek Redirect mesaj sınırların dışında okumaya neden olabilir.
4. CVE-2023-45232: Hedef Seçenekleri Başlığında Bilinmeyen Seçeneklerin Ayrıştırılmasında Sonsuz Döngü
   • Bu sorun şurada bulunur: Ip6IsExtsValid IPv6 paketlerindeki uzantı başlıklarını doğrulayan işlev. Hedef Seçenekleri başlığındaki bilinmeyen seçenekler ayrıştırılırken sonsuz bir döngü tetiklenebilir.
5. CVE-2023-45233: Hedef Seçenekleri Başlığında PadN Seçeneğini Ayrıştırmada Sonsuz Döngü
   • CVE-2023-45232’ye benzer şekilde, bu güvenlik açığı sonsuz bir döngüye neden oluyor Ip6IsOptionValid ayrıştırırken işlev PadN belirli bir uzunluk alanı değerine sahip seçenek.
6. CVE-2023-45234: DHCPv6 Reklam Mesajında ​​DNS Sunucularının İşlenmesi Seçeneğinde Arabellek Taşması
   • Bu güvenlik açığı, yanlış kullanımdan kaynaklanmaktadır. OPTION_DNS_SERVERS DHCPv6’daki seçenek uzunluğu teklifleri. Seçenek uzunluğunun beklenenden kısa olması durumunda arabellek taşması meydana gelebilir.
7. CVE-2023-45235: DHCPv6 Proxy Reklam Mesajından Sunucu Kimliği Seçeneğinin İşlenmesinde Arabellek Taşması
   • Bu sorun şu durumlarda ortaya çıkar: PxeBcRequestBootService DHCPv6 proxy Reklam mesajından Sunucu Kimliği seçeneğini işlerken işlev. Arabellek taşmasına yol açabilir.
8. CVE-2023-45236: DHCPv6 Geçiş İletme İleti İşlemesindeki Güvenlik Açığı
   • Bu güvenlik açığı DHCPv6’nın işlenmesini içerir Relay Forward mesajlar. Çıkarılan içerikte bu güvenlik açığının doğasına ilişkin, arabellek taşmasına, bilgilerin açığa çıkmasına veya başka türde bir güvenlik riskine yol açıp açmadığı gibi belirli ayrıntılar sağlanmadı. Ancak bu durum muhtemelen bu mesajların uygunsuz şekilde işlenmesini veya doğrulanmasını içermektedir ve bu durum belirli koşullar altında kötüye kullanılabilir.
9. CVE-2023-45237: Sahte Rastgele Sayı Oluşturucudaki Zayıflık
   • Bu güvenlik açığı, ağ yığınında kullanılan sözde rastgele sayı üretecindeki bir zayıflıktan kaynaklanmaktadır. Bu güvenlik açığının spesifik etkisi, kriptografik gücün azalmasından rastgeleliğe dayanan işlevlerdeki potansiyel öngörülebilirliğe kadar değişebilir. Bunun, etkinlikleri açısından rastgele sayı üretimine bağlı olan güvenlik özellikleri üzerinde etkileri olabilir.

Bu güvenlik açıklarından yararlanılması, yetkisiz erişime, veri ihlallerine ve kritik kurumsal operasyonların kesintiye uğramasına neden olabilir.

Tianocore’un EDK II IPv6 ağ yığınındaki PixieFail güvenlik açıkları, EDK II’leri kullanan birçok satıcıyı etkiliyor NetworkPkg modülü. Quarkslab blog yazısında belirtildiği üzere etkilenen satıcıların listesi aşağıda verilmiştir:

1. Tianocore
   • Özellikle Tianocore tarafından geliştirilen ve sürdürülen EDK II UEFI uygulamasında güvenlik açıkları mevcut.
2. Kol Ltd.
   • Kol referans çözümlerinden etkilenir.
3. Insyde Yazılımı
   • Insyde H20 UEFI BIOS’u etkilendi.
4. Amerikan Megatrends Inc. (AMI)
   • Güvenlik açıkları AMI’nin Aptio OpenEdition’ını etkiliyor.
5. Phoenix Teknolojileri A.Ş.
   • SecureCore teknolojileri de etkilendi.
6. Microsoft şirketi
   • Güvenlik açıkları Microsoft’un Project Mu’sunu etkiliyor.

Ek olarak, CERT/CC tarafından yayınlanan Güvenlik Açığı Notu VU#132380, etkilenen satıcıların daha kapsamlı bir listesinin yanı sıra düzeltmelerin ve azaltıcı önlemlerin dağıtımına ilişkin rehberlik sağlar.

Topluluk Tepkisi ve Tartışma

• Reddit gibi platformlardaki siber güvenlik topluluğu, PixieFail’in teknik yönlerini ve potansiyel hafifletme stratejilerini aktif olarak tartışıyor. Güvenlik uzmanları, bu tür güvenlik açıklarına karşı koruma sağlamak için ağ güvenliği protokollerinin hızlı bir şekilde yamalanması ve yeniden gözden geçirilmesi gerektiğini vurguluyor.

Resmi Açıklamalar ve Tavsiyeler

• Tianocore, güvenlik açıklarını kabul etti ve bunları gidermek için yamalar yayınladı.
• Güvenlik Önerileri: Kuruluşların sistemlerini en son yamalarla güncellemeleri ve bu güvenlik açıklarından olası yararlanmaları tespit etmek için kapsamlı güvenlik denetimleri yapmaları tavsiye ediliyor.

Ağ Güvenliğine Yönelik Daha Geniş Etkiler

• Analiz: PixieFail’in keşfi, ağ protokollerinin ve ürün yazılımı bileşenlerinin güvenliğinde devam eden zorlukların altını çiziyor.
• Geleceğe Bakış: Bu olay, kurumsal ağlarda sürekli dikkat, düzenli güvenlik güncellemeleri ve proaktif tehdit tespit mekanizmalarına olan ihtiyacın altını çiziyor.

PixieFail, EDK II IPv6 yığını gibi temel ağ bileşenlerinde bulunabilecek güvenlik açıklarına dair kritik bir hatırlatmadır. Bu güvenlik açıklarının hızlı bir şekilde tanımlanması ve yamalanması övgüye değerdir ancak bunlar aynı zamanda siber güvenlik topluluğunun bu tür tehditleri belirleme ve azaltma konusunda tetikte ve proaktif kalması için bir eylem çağrısı görevi de görür.