“PKfail”漏洞曝光:全球近千種設(shè)備安全啟動(dòng)機(jī)制失效
責(zé)編:gltian |2024-09-19 11:13:09近日安全研究人員發(fā)現(xiàn)從游戲機(jī)到總統(tǒng)大選投標(biāo)機(jī)的海量設(shè)備仍然使用不安全的測(cè)試密鑰,容易受到UEFI bootkit惡意軟件的攻擊。
安全啟動(dòng)不安全
在近期的安全研究中,一項(xiàng)涉及設(shè)備制造行業(yè)安全啟動(dòng)(Secure Boot)保護(hù)機(jī)制的供應(yīng)鏈?zhǔn)栴}引發(fā)了廣泛關(guān)注。此次事件波及的設(shè)備型號(hào)范圍遠(yuǎn)比之前已知的要廣泛得多,受影響的設(shè)備涵蓋了ATM機(jī)、POS機(jī)、甚至投票機(jī)等多個(gè)領(lǐng)域。
這一問題源自于過去十年間,數(shù)百種設(shè)備型號(hào)中使用了非生產(chǎn)環(huán)境的測(cè)試平臺(tái)密鑰,這些密鑰在其根證書中標(biāo)注了“DO NOT TRUST”(請(qǐng)勿信任)等警示語,此類密鑰原本應(yīng)僅用于測(cè)試環(huán)境,但設(shè)備制造商卻將其應(yīng)用于生產(chǎn)系統(tǒng)。
平臺(tái)密鑰作為加密的“信任根”錨定了硬件設(shè)備與其運(yùn)行的固件之間的信任關(guān)系,確保安全啟動(dòng)機(jī)制正常運(yùn)行。然而,由于大量用于測(cè)試安全啟動(dòng)主密鑰的私鑰被泄漏,極大地削弱了這一安全機(jī)制的有效性。研究發(fā)現(xiàn),2022年甚至有人將一部分私鑰在GitHub上公開發(fā)布。這些信息為攻擊者提供了必要條件,能夠通過植入“根工具包”(Rootkits)等惡意軟件,破壞設(shè)備的UEFI(統(tǒng)一可擴(kuò)展固件接口)安全啟動(dòng)保護(hù)。
500多種設(shè)備存在隱患
此次供應(yīng)鏈安全事件被Binarly命名為“PKfail”(CVE-2024-8105),意指平臺(tái)密鑰(Platform Key)失效。此次失敗展示了供應(yīng)鏈復(fù)雜性已超出用戶當(dāng)前的風(fēng)險(xiǎn)管理能力,特別是在涉及第三方供應(yīng)商時(shí)。不過,研究人員指出,這一風(fēng)險(xiǎn)完全可以通過“安全設(shè)計(jì)理念”進(jìn)行規(guī)避和緩解。
根據(jù)Binarly的最新報(bào)告,受此問題影響的設(shè)備型號(hào)遠(yuǎn)超此前的認(rèn)知。Binarly的研究工具在過去幾個(gè)月中收集到了10095個(gè)固件樣本,其中791個(gè)(約占8%)包含了非生產(chǎn)密鑰。
受PKfail影響的固件數(shù)量 來源:Binarly
最初,Binarly識(shí)別出了大約513種設(shè)備型號(hào)使用了測(cè)試密鑰,目前一數(shù)字已增長至972種。此外,最早報(bào)告的215個(gè)受影響型號(hào)中,有490個(gè)型號(hào)使用了在GitHub上公開的密鑰。研究人員還發(fā)現(xiàn)了四個(gè)新的測(cè)試密鑰,使得總數(shù)達(dá)到了約20個(gè)。
此前發(fā)現(xiàn)的密鑰均來自AMI,這是一家為設(shè)備制造商提供UEFI固件開發(fā)工具包的主要供應(yīng)商之一。自7月以來,Binarly還發(fā)現(xiàn)了AMI的其他兩大競(jìng)爭對(duì)手Insyde和Phoenix的密鑰同樣存在問題。
更多的受影響設(shè)備還包括:
- Hardkernel的odroid-h2、odroid-h3和odroid-h4
- Beelink Mini 12 Pro
- Minisforum HX99G
Binarly進(jìn)一步指出,受影響的設(shè)備不僅限于桌面電腦和筆記本電腦,還包括大量醫(yī)療設(shè)備、游戲機(jī)、企業(yè)級(jí)服務(wù)器、ATM機(jī)、銷售終端設(shè)備,甚至包括投票機(jī)!由于目前尚無修復(fù)方案,研究人員基于保密協(xié)議未披露具體的設(shè)備型號(hào)。Binarly發(fā)布了“PKfail掃描儀”,供應(yīng)商可以自行上傳固件映像查看是否使用了測(cè)試密鑰。
此次事件表明,安全啟動(dòng)作為一種設(shè)備預(yù)啟動(dòng)階段的加密保護(hù)機(jī)制,盡管被廣泛應(yīng)用于政府承包商和企業(yè)環(huán)境中,但其安全性依然存在隱患,其供應(yīng)鏈管理中存在重大漏洞。
參考鏈接:
http://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact
聲明:本文來自GoUpSec,稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系rhliu@skdlabs.com,我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!