Sono state rivelate diverse vulnerabilità di sicurezza nel stack del protocollo di rete TCP/IP di un’implementazione open-source di riferimento della specifica Unified Extensible Firmware Interface (UEFI), ampiamente utilizzata nei computer moderni. Questi difetti, collettivamente denominati PixieFail da Quarkslab, si trovano nel TianoCore EFI Development Kit II (EDK II) e potrebbero essere sfruttati per eseguire codice in remoto, causare denial-of-service (DoS), avvelenare la cache DNS e causare la perdita di informazioni sensibili.
Il firmware UEFI, che è responsabile dell’avvio del sistema operativo, di AMI, Intel, Insyde e Phoenix Technologies, è influenzato da queste carenze. EDK II incorpora il proprio stack TCP/IP chiamato NetworkPkg per abilitare le funzionalità di rete disponibili durante la fase iniziale Preboot eXecution Environment (PXE), che consente compiti di gestione in assenza di un sistema operativo in esecuzione.
I problemi identificati da Quarkslab all’interno del NetworkPkg di EDKII includono bug di overflow, letture out-of-bounds, loop infiniti e l’uso di un generatore di numeri pseudocasuali (PRNG) debole che risultano in attacchi di avvelenamento DNS e DHCP, perdite di informazioni, attacchi DoS e inserimento di dati ai livelli IPv4 e IPv6.
L’elenco delle vulnerabilità è il seguente:
- CVE-2023-45229 (punteggio CVSS: 6.5) – Underflow intero durante l’elaborazione delle opzioni IA_NA/IA_TA in un messaggio DHCPv6 Advertise
- CVE-2023-45230 (punteggio CVSS: 8.3) – Overflow del buffer nel client DHCPv6 tramite un’opzione Server ID lunga
- CVE-2023-45231 (punteggio CVSS: 6.5) – Lettura out-of-bounds durante la gestione di un messaggio ND Redirect con opzioni troncate
- CVE-2023-45232 (punteggio CVSS: 7.5) – Loop infinito durante l’analisi di opzioni sconosciute nell’intestazione delle opzioni di destinazione
- CVE-2023-45233 (punteggio CVSS: 7.5) – Loop infinito durante l’analisi di un’opzione PadN nell’intestazione delle opzioni di destinazione
- CVE-2023-45234 (punteggio CVSS: 8.3) – Overflow del buffer durante l’elaborazione dell’opzione Server DNS in un messaggio DHCPv6 Advertise
- CVE-2023-45235 (punteggio CVSS: 8.3) – Overflow del buffer durante la gestione dell’opzione Server ID da un messaggio Advertise di proxy DHCPv6
- CVE-2023-45236 (punteggio CVSS: 5.8) – Numeri di sequenza iniziali TCP prevedibili
- CVE-2023-45237 (punteggio CVSS: 5.3) – Uso di un generatore di numeri pseudocasuali debole
“L’impatto e la sfruttabilità di queste vulnerabilità dipendono dalla specifica build del firmware e dalla configurazione di avvio PXE predefinita”, ha dichiarato il CERT Coordination Center (CERT/CC) in un avviso. “Un aggressore all’interno della rete locale (e, in alcuni scenari, in remoto) potrebbe sfruttare queste debolezze per eseguire codice remoto, avviare attacchi DoS, condurre avvelenamento della cache DNS o estrarre informazioni sensibili.”