Ürün yazılımı tedarik zincirindeki rahatsız edici bir güvenlik arızası modeli, milyonlarca cihazı OS öncesi tehditlere maruz bırakmaya devam ederek potansiyel olarak bilgisayar güvenliğinin temelini zayıflatıyor.
2022 ve 2025 yılları arasında, sızdırılmış şifreleme anahtarlarını ve imzalama sertifikalarının yanlış yönetimini içeren bir dizi kritik güvenlik olayı, saldırganların UEFI güvenli bot ve diğer ürün yazılımı koruma mekanizmalarını potansiyel olarak atlayabileceği, işletim sistemi yüklerden önce sistemlerin kontrolünü sağlayabileceği bir ortam yarattı.
Bu yinelenen turlar, Intel’in Platform Özellikleri Değerlendirme Modülündeki (PPAM) süresi dolmuş sertifikaları, Lenovo, Supermicro, MSI ve en son Clevo’dan önyükleme koruması özel anahtarlarını ortaya çıkaran büyük veri ihlallerini ve üretim ortamlarındaki test anahtarlarının yaygın olarak dağıtılmasını içerir.
.png
)
Sonuçlar özellikle şiddetlidir, çünkü ürün yazılımı düzeyinde uzlaşmalar işletim sistemi yeniden yüklemelerinde hayatta kalabilir ve geleneksel güvenlik araçları tarafından tespit edilmeyebilir, bu da sofistike tehdit aktörleri için mükemmel kalıcılık mekanizmaları oluşturur.
Binarly araştırmacıları, bu tedarik zinciri sorunlarının izole olaylar olmadığını, ancak UEFI ekosistemindeki şifreleme anahtar yönetiminde sistemik başarısızlıkları temsil ettiğini belirlediler.
Analizleri, kamu açıklamalarını takiben bazı iyileştirmelere rağmen, savunmasız ürün yazılımının yeni cihazlarda gönderilmeye devam ettiğini ve bazı üreticilerin maruz kaldıklarından yıllar sonra hala tehlikeye atılmış anahtarları kullandığını ortaya koydu.
Ürün yazılımı tedarik zincirinin birbirine bağlı doğası bu güvenlik risklerini güçlendirir. Bir satıcının anahtarları tehlikeye atıldığında, etki çoklu üreticilerin cihazlarını etkilemek için sıklıkla kendi ürünlerinin ötesine uzanır.
Bu çapraz kontaminasyon etkisi, sızdırılan anahtarların birden fazla markadan cihazları etkilediği 2023’teki MSI ihlali sonrasında özellikle belirgindi.
PKFail Salgın: Üretim ortamlarında test anahtarları
Belki de bu sorunların en yaygın olanı, 2024’te keşfedilen ve Binarly tarafından analiz edilen tüm ürün yazılımı görüntülerinin yaklaşık% 10’unu etkileyen “PKFail” güvenlik açığıdır.
Güvenlik açığı, “Güvenmeyin – AMI Test PK” gibi uyarılarla etiketlenmiş anahtarlar da dahil olmak üzere, Test Platform Anahtarlarının (PKS) üretim ürün yazılımına dahil edilmesinden kaynaklandı.
Bu sorunun şiddeti, üretim ürün yazılımında bulunan bir sertifikadan bir alıntı ile vurgulanır:-
Version 3 (0x2)
Serial Number:
55:fb:ef:87:81:23:00:84:47:17:0b:b3:cd:87:3a:f4
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=DO NOT TRUST - AMI Test PK
Validity
Not Before: Nov 8 23:32:53 2017 GMT
Not After : Nov 8 23:32:52 2021 GMT.webp)
Sorun AMI tabanlı cihazların ötesine uzandı ve benzer test anahtarları birden fazla üreticinin ürününde keşfedildi.
Binarly’nin farklı yıllarda ürün yazılımı görüntüleri analizi rahatsız edici bir eğilim ortaya koydu: etkilenen cihazların yüzdesi, Temmuz 2024’teki halka açık açıklamalarına kadar sürekli arttı ve daha sonra keskin bir düşüş yaşadı.
.webp)
Ekosistem bu konuları ele alırken, 2025’te tespit edilen PKFail’den etkilenen cihazlar-bu kadar uzak olan ciddi güvenlik açıkları ortaya çıkmaya devam etmektedir.
Son zamanlarda, Binarly araştırmacıları, Microsoft imzalı bir UEFI modülünde (CVE-2025-3052) bir bellek yolsuzluğu kırılganlığı keşfettiler, bu da ekosistemin, firm yazılım düzeyinde bile kendi savunmasız sürücü (BYOVD) saldırılarınızı getirecek şekilde savunmasız kaldığını gösterdi.
.webp)
Bu yinelenen tedarik zinciri turlarının kombinasyonu güvenlik için mükemmel bir fırtına yaratır: uzlaşmış anahtarlar, saldırganların meşru görünen kötü amaçlı ürün yazılımı imzalamasına izin verirken, bellek yolsuzluk güvenlik açıkları güvenli bot gibi koruma mekanizmalarını devre dışı bırakabilecek kod yürütme yolları sağlar.
Binarly’nin kavram kanıtında gösterildiği gibi, bu güvenlik açıklarından yararlanan bir saldırgan, işletim sisteminin yeniden yüklenmesini sağlayan ve sisteme ayrıcalıklı erişim sağlayan kalıcı bootkits kurabilir.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers