Vulnerabilidades críticas de PixieFail conducen a ataques RCE y DoS
Se ha detectado un conjunto de vulnerabilidades de seguridad críticas en la pila del protocolo de red TCP/IP de una implementación de referencia de código abierto de la especificación Unified Extensible Firmware Interface (UEFI). Denominadas PixieFail por Quarkslab, estas nueve vulnerabilidades del TianoCore EFI Development Kit II (EDK II) afectan al proceso de arranque en red, crucial para cargar el sistema operativo desde la red. Podrían ser aprovechadas por los atacantes, dando lugar a la ejecución remota de código, ataques de denegación de servicio (DoS), envenenamiento de caché DNS, y la fuga no autorizada de datos sensibles.
Nueve vulnerabilidades PixieFail UEFI
El impacto de estas vulnerabilidades se extiende al firmware UEFI desarrollado por grandes empresas como AMI, Intel, Insyde y Phoenix Technologies. El EDK II incorpora su propia pila TCP/IP, conocida como NetworkPkg, que facilita las funcionalidades de red durante la fase inicial Preboot eXecution Environment (PXE). PXE permite a los dispositivos arrancar desde su tarjeta de interfaz de red (NIC) y permite la configuración remota y el arranque de ordenadores en red que carecen de un sistema operativo en ejecución.
Estas vulnerabilidades identificadas dentro del NetworkPkg del EDK II abarcan una variedad de fallos, incluyendo el mal manejo de los mensajes DHCPv6 Advertise, causando desbordamiento de enteros y desbordamientos de búfer debido a las opciones de ID de servidor. Estos ataques se producen antes de que se cargue el sistema operativo, eludiendo las medidas de seguridad tradicionales.
La lista de todas las vulnerabilidades de PixieFail incluye:
CVE-2023-45229 (CVSS score: 6.5) - Desbordamiento de enteros en el procesamiento de mensajes Advertise de DHCPv6
CVE-2023-45230 (CVSS score: 8.3) - Desbordamiento de búfer en el cliente DHCPv6 a través de la opción Server ID
CVE-2023-45231 (CVSS score: 6.5) - Lectura fuera de límites en el manejo del mensaje ND Redirect
CVE-2023-45232 (puntuación CVSS: 7,5) - Bucle infinito al analizar opciones desconocidas
CVE-2023-45233 (puntuación CVSS: 7,5) - Bucle infinito en el análisis de la opción PadN
CVE-2023-45234 (CVSS score: 8.3) - Desbordamiento de búfer en el procesamiento de la opción DNS Servers
CVE-2023-45235 (CVSS score: 8.3) - Desbordamiento de búfer en el tratamiento de la opción Server ID
CVE-2023-45236 (puntuación CVSS: 5,8) - Números de secuencia inicial TCP predecibles
CVE-2023-45237 (puntuación CVSS: 5,3) - Uso de un generador de números pseudoaleatorios débil
Conclusión
Las vulnerabilidades de PixieFail ponen de manifiesto la necesidad de adoptar medidas de seguridad sólidas en las configuraciones de arranque en red. Según el Centro de Coordinación CERT (CERT/CC), el impacto y la posibilidad de aprovechamiento de estas vulnerabilidades varían en función de la versión específica del firmware y de la configuración de arranque PXE por defecto. PXE, esencial para el arranque en red de los sistemas empresariales, se utiliza tanto en entornos de servidor como de sobremesa.
Los atacantes deben estar en la misma red que los dispositivos objetivo para explotar las vulnerabilidades de PixieFail. Quarkslab también ha proporcionado exploits de prueba de concepto (PoC) para ayudar a los administradores de red a identificar los dispositivos vulnerables.
Las fuentes de este artículo incluyen un artículo de Eclypsium.