Test edilen ürün yazılımı görüntülerinin yaklaşık yüzde dokuzu, veri ihlallerinde kamuya açık olarak bilinen veya sızdırılan üretim dışı şifreleme anahtarları kullanıyor ve birçok güvenli önyükleme cihazını UEFI bootkit kötü amaçlı yazılım saldırılarına karşı savunmasız bırakıyor.
'PKFail' olarak bilinen ve şimdi CVE-2024-8105 olarak izlenen tedarik zinciri saldırısına, bilgisayar satıcılarının güvenli bir şekilde oluşturulan anahtarlarıyla değiştirmesi gereken test güvenli bot ana anahtarı (platform anahtarı "PK") neden olur.
Bu anahtarlar "güvenmeyin" olarak işaretlenmiş olsa da, hala Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo, Phoenix ve Supermicro gibi çok sayıda bilgisayar üreticisi tarafından kullanılmıştır.
Sorun, Binarly tarafından Temmuz 2024'ün sonlarında keşfedildi ve bu da GitHub ve diğer yerlerde zaten sızan güvenilmeyen test anahtarlarının kullanımı konusunda uyarıldı.
PKFail, tehdit aktörlerinin güvenli önyükleme korumalarını atlamasına ve savunmasız sistemlere tespit edilemeyen UEFI kötü amaçlı yazılımları dikmesine izin verebilir ve kullanıcılara uzlaşmayı savunmak veya hatta keşfetmenin bir yolu bırakmaz.
Araştırmalarının bir parçası olarak Binarly, satıcıların bir test anahtarı kullanıp kullanmadıklarını görmek için ürün yazılımı resimlerini yüklemek için kullanabilecekleri bir "PKFail Scanner" yayınladı.
Scanner, piyasaya sürülmesinden bu yana, son metriklere göre 10.095 üzerinden 791 savunmasız ürün yazılımı gönderimi buldu.
"Verilerimize dayanarak, tıbbi cihazlar, masaüstü bilgisayarlar, dizüstü bilgisayarlar, oyun konsolları, kurumsal sunucular, ATM'ler, POS terminalleri ve oylama makineleri gibi bazı garip yerlerde PKFail ve üretim dışı anahtarlar bulduk." Binarly'nin yeni raporunu okuyor.
Savunmasız başvuruların çoğunluğu AMI (American Megatrends Inc.), ardından Insyde (61), Phoenix (4) ve bir Supermicro'dan bir başvuru.
2011 yılında oluşturulan Insyde Keys için Binarly, ürün yazılımı görüntü gönderimlerinin hala modern cihazlarda kullanıldığını ortaya koyduğunu söylüyor. Daha önce, sadece eski sistemlerde bulunacakları varsayılmıştır.
Topluluk ayrıca PKFail'in Hardkernel, Beelink ve Minisforum'dan özel cihazları etkilediğini doğruladı, bu nedenle kusurun etkisi ilk tahmin edilenden daha geniş.
Binarly, satıcının PKFail'e verdiği yanıtın genellikle proaktif ve hızlı olduğunu söylüyor, ancak herkes güvenlik riski hakkında hızlı bir şekilde tavsiyeler yayınlamıyor. PKFail'deki bültenler şu anda Dell, Fujitsu, Supermicro, Gigabyte, Intel ve Phoenix tarafından kullanılabilir.
Birkaç satıcı, savunmasız platform anahtarlarını kaldırmak veya bunları prodüksiyona hazır şifreleme malzemeleriyle değiştirmek için zaten yamalar veya ürün yazılımı güncellemeleri yayınladı ve kullanıcılar BIOS'larını güncelleyerek bunları alabilirler.
Cihazınız artık desteklenmiyorsa ve PKFail için güvenlik güncellemeleri alması olası değilse, ona fiziksel erişimin sınırlı olması ve ağın daha kritik bölümlerinden izole edilmesi önerilir.
PKFail Güvenli Önyükleme Bypass Saldırganların UEFI kötü amaçlı yazılımları yüklemesine izin verir
Yeni Eucleak Saldırısı, Tehdit Oyuncuları Klon Yubikey Fido Keys
NIST onaylı ML-KEM kuantum şifrelemesine geçiş
Microsoft, çift önyükleme sistemlerinde Linux önyükleme sorunları için temp düzeltmeyi paylaşıyor
Microsoft, Ağustos Güncellemelerini Çift-Boot Systems'ta Break Linux Boot'u onayladı
Kaynak: Bleeping Computer