Se descubren vulnerabilidades de firmware UEFI que afectan a Fujitsu, Intel y más

Los investigadores han descubierto 23 «vulnerabilidades de alto impacto» que afectan a cualquier proveedor que haya adoptado el código de Desarrolladores de BIOS independientes (IBV) en su firmware de Interfaz de firmware extensible unificada (UEFI).

Binarly explicó las vulnerabilidades en una publicación de blog esta semana, confirmando que «todas estas vulnerabilidades se encuentran en varios de los principales ecosistemas de proveedores empresariales», incluidos Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel y Bull Atos. CERT/CC confirmó que Fujitsu, Insyde e Intel se vieron afectados, pero dejó a los demás etiquetados como «desconocidos», instando a todos los afectados a actualizar a la última versión estable del firmware.

Según el blog, la mayoría de las vulnerabilidades reveladas conducen a la ejecución de código con privilegios de SMM y tenían índices de gravedad de entre 7,5 y 8,2.

«La causa raíz del problema se encontró en el código de referencia asociado con el código del marco de firmware de InsydeH2O. Todos los proveedores antes mencionados estaban usando SDK de firmware basado en Insyde para desarrollar sus piezas de firmware», escribió Binarly.

«Tuvimos una breve discusión con Fujitsu PSIRT y llegamos a la conclusión de que deberíamos informar todos esos problemas a CERT/CC para liderar una divulgación en toda la industria. Así es como se creó el VU # 796611 y cómo la colaboración de Binarly con CERT/CC comenzó en septiembre de 2021».

Elogiaron a Fujitsu, Intel y otros por responder rápidamente y resolver las vulnerabilidades. El proveedor de UEFI Insyde Software dijo que trabajó con Binarly para resolver las vulnerabilidades y ha lanzado actualizaciones de firmware para todos los problemas enumerados.

«Estamos extremadamente agradecidos por el trabajo de Binarly en el descubrimiento de los elementos descritos en las divulgaciones de seguridad publicadas hoy», dijo Tim Lewis, CTO de Insyde Software el martes.

«Apreciamos la pronta y profesional respuesta de Insyde Software a los resultados de nuestro análisis de su firmware», dijo Alex Matrosov, fundador y director ejecutivo de Binarly.

Las vulnerabilidades se rastrean como CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021 -41839 CVE-2021-41840 CVE-2021-41841 CVE-2021-42059 CVE-2021-42060 CVE-2021-42113 CVE-2021-42554 CVE-2021-43323 CVE-2021-43522 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

«Un atacante local con privilegios administrativos (en algunos casos, un atacante remoto con privilegios administrativos) puede usar software malintencionado para realizar cualquiera de las siguientes acciones: invalidar muchas características de seguridad del hardware (SecureBoot, Intel BootGuard), instalar software persistente que no se puede borrar fácilmente y crear puertas traseras y canales de comunicación traseros para exfiltrar datos confidenciales», explicó CERT/CC.

Mike Parkin, ingeniero de Vulcan Cyber, dijo que cualquier vulnerabilidad que permita a un atacante manipular o alterar el BIOS de un sistema puede tener consecuencias potencialmente devastadoras.

«Afortunadamente, el ataque descrito aquí requiere acceso privilegiado para ejecutarse. Esto no es raro con los ataques de BIOS, ya que requieren cierto nivel de privilegio o acceso físico para implementarse. Pero eso no significa que podamos ignorarlos. Para un actor de amenazas , el valor de incrustar código malicioso en el BIOS hace que el esfuerzo valga la pena», dijo Parkin.

«El problema será identificar todos los sistemas que se ven afectados por estas vulnerabilidades e implementar las actualizaciones una vez que estén disponibles del proveedor. Las actualizaciones del BIOS del sistema a menudo son más complicadas y consumen más tiempo que un simple parche del sistema, lo que hace que encontrarlas y repararlas todo algo desafiante».

El CEO de Viakoo, Bud Broomhead, señaló que el problema era similar a las vulnerabilidades de código abierto recientes como Log4j, PwnKit y otras porque las vulnerabilidades que existen dentro de la capa UEFI de Insyde son difíciles de parchear rápidamente a escala debido a la multitud de fabricantes que necesitarán producir. y distribuir un parche al usuario final.

Entonces depende del usuario final qué tan rápido se instala el parche, dijo Broomhead. A menos que se parcheen, estas vulnerabilidades brindan una ruta directa para que los actores de amenazas implementen malware dentro de la capa del sistema operativo, o incluso bloqueen los dispositivos, agregó.

«Esta divulgación refuerza la necesidad de garantizar que todos los activos se puedan ubicar rápidamente a través de una solución automatizada de detección y evaluación de amenazas, seguida de un método automatizado para parchear o actualizar el firmware del sistema. La necesidad de parchear rápidamente múltiples formas de dispositivos (TI, IoT , OT, ICS, etc.) ahora está mucho más allá de la capacidad de cualquier organización para implementar manualmente correcciones de seguridad», dijo Broomhead.

«Las organizaciones lidiarán con esto por un tiempo; debido a que esto afecta a varios fabricantes de sistemas que utilizan Insyde UEFI, es probable que haya muchos dispositivos en la cadena de suministro que se entregarán en los próximos meses a los usuarios finales. Las organizaciones deberán revisar cómo están aprovisionando e incorporando nuevos dispositivos para garantizar que no continúen distribuyendo dispositivos que los ciberdelincuentes puedan explotar fácilmente».

Deja un comentario