Kerentanan UEFI PixieFail

Ini dulunya dikenal sebagai BIOS, namun standar yang lebih baru yang disebut Unified Extensible Firmware Interface atau UEFI kini menjadi antarmukanya. Sehubungan dengan itu, kita akan membahas mengenai kerentanan UEFI PixieFail.

Kerentanan di UEFI, berarti penyerang memiliki kendali penuh atas perangkat dan berpotensi membahayakan perangkat lain di jaringan, berikut ulasannya.

Kerentanan UEFI PixieFail

Berbagai kerentanan keamanan telah terungkap dalam tumpukan protokol jaringan TCP/IP dari implementasi referensi open source dari spesifikasi Unified Extensible Firmware Interface (UEFI) yang digunakan secara luas di komputer modern.

Secara kolektif dijuluki PixieFail, sembilan masalah yang berada di TianoCore EFI Development Kit II (EDK II) dan dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh, penolakan layanan (DoS), poisoning cache DNS, dan kebocoran informasi sensitif.

Firmware UEFI bertanggung jawab untuk mem-boot sistem operasi dari AMI, Intel, Insyde, dan Phoenix Technologies terpengaruh oleh kekurangan tersebut.

EDK II menggabungkan tumpukan TCP/IP sendiri yang disebut NetworkPkg untuk mengaktifkan fungsionalitas jaringan yang tersedia selama tahap awal Preboot eXecution Environment (PXE, diucapkan “pixie”), yang memungkinkan tugas manajemen tanpa adanya sistem operasi yang sedang berjalan.

Dengan kata lain, ini adalah antarmuka klien-server untuk mem-boot perangkat dari Network Interface Card (NIC) dan memungkinkan komputer jaringan yang belum dimuat dengan sistem operasi untuk dikonfigurasi dan di-boot dari jarak jauh oleh administrator.

Kode untuk PXE disertakan sebagai bagian dari firmware UEFI pada motherboard atau dalam memori read-only (ROM) firmware NIC.

Common Vulnerability & Exposures PixieFail

Masalah yang diidentifikasi mencakup bug overflow, pembacaan di luar batas, loop tak terbatas, dan penggunaan generator nomor pseudorandom (PRNG) yang lemah yang mengakibatkan serangan poisoning DNS dan DHCP, kebocoran informasi, penolakan layanan, dan serangan penyisipan data pada lapisan IPv4 dan IPv6.

Daftar kerentanan adalah sebagai berikut –

• CVE-2023-45229 (skor CVSS: 6.5) – Underflow bilangan bulat saat memproses opsi IA_NA/IA_TA dalam pesan Iklan DHCPv6.
• CVE-2023-45230 (skor CVSS: 8.3) – Buffer overflow di klien DHCPv6 melalui opsi ID Server yang panjang.
• CVE-2023-45231 (skor CVSS: 6.5) – Pembacaan di luar batas saat menangani pesan Pengalihan ND dengan opsi terpotong.
• CVE-2023-45232 (skor CVSS: 7.5) – Loop tak terbatas saat menguraikan opsi yang tidak diketahui di header Opsi Tujuan.
• CVE-2023-45233 (skor CVSS: 7.5) – Loop tak terbatas saat mengurai opsi PadN di header Opsi Tujuan.
• CVE-2023-45234 (skor CVSS: 8.3) – Buffer overflow saat memproses opsi Server DNS dalam pesan Iklan DHCPv6.
• CVE-2023-45235 (skor CVSS: 8.3) – Buffer overflow saat menangani opsi ID Server dari pesan Iklan proksi DHCPv6.
• CVE-2023-45236 (skor CVSS: 5.8) – Nomor Urutan Awal TCP yang Dapat Diprediksi.
• CVE-2023-45237 (skor CVSS: 5.3) – Penggunaan generator bilangan pseudorandom yang lemah.

Dampak dan eksploitasi kerentanan ini bergantung pada pembuatan firmware spesifik dan konfigurasi boot PXE default.

Penyerang dalam jaringan lokal (dan, dalam skenario tertentu dari jarak jauh) dapat mengeksploitasi kelemahan ini untuk mengeksekusi kode jarak jauh, memulai serangan DoS, melakukan poisoning cache DNS, atau mengekstrak informasi sensitif.

Sumber berita:

WeLiveSecurity