Les vulnérabilités critiques de PixieFail conduisent à des attaques RCE et DoS
Un ensemble de failles de sécurité critiques a été découvert dans la pile de protocoles réseau TCP/IP d'une implémentation de référence à source ouverte de la spécification UEFI (Unified Extensible Firmware Interface). Baptisées PixieFail par Quarkslab, ces neuf vulnérabilités dans le kit de développement TianoCore EFI II (EDK II) ont un impact sur le processus de démarrage du réseau, crucial pour le chargement du système d'exploitation à partir du réseau. Elles pourraient être exploitées par des attaquants, entraînant l'exécution de code à distance, des attaques par déni de service (DoS), l'empoisonnement du cache DNS et la fuite non autorisée de données sensibles.
Neuf vulnérabilités PixieFail dans l'UEFI
L'impact de ces vulnérabilités s'étend aux microprogrammes UEFI développés par de grandes entreprises telles que AMI, Intel, Insyde et Phoenix Technologies. L'EDK II intègre sa propre pile TCP/IP, connue sous le nom de NetworkPkg, qui facilite les fonctionnalités réseau au cours de la phase initiale PXE (Preboot eXecution Environment). PXE permet aux appareils de démarrer à partir de leur carte d'interface réseau (NIC) et permet la configuration et le démarrage à distance d'ordinateurs en réseau qui n'ont pas de système d'exploitation en cours d'exécution.
Ces vulnérabilités identifiées dans le NetworkPkg de l'EDK II englobent une variété de failles, y compris un mauvais traitement des messages d'annonce DHCPv6, causant un débordement d'entier et un débordement de tampon dû aux options d'ID de serveur. Ces exploits se produisent avant le chargement du système d'exploitation, contournant ainsi les mesures de sécurité traditionnelles.
La liste de toutes les vulnérabilités de PixieFail est la suivante :
CVE-2023-45229 (CVSS score : 6.5) - Débordement d'entier dans le traitement du message DHCPv6 Advertise
CVE-2023-45230 (CVSS score : 8.3) - Débordement de mémoire tampon dans le client DHCPv6 via l'option Server ID
CVE-2023-45231 (CVSS score : 6.5) - Lecture hors limites dans le traitement du message ND Redirect
CVE-2023-45232 (CVSS score : 7.5) - Boucle infinie dans l'analyse d'options inconnues
CVE-2023-45233 (CVSS score : 7.5) - Boucle infinie dans l'analyse de l'option PadN
CVE-2023-45234 (score CVSS : 8.3) - Débordement de mémoire tampon dans le traitement de l'option Serveurs DNS
CVE-2023-45235 (CVSS score : 8.3) - Débordement de mémoire tampon dans le traitement de l'option Server ID
CVE-2023-45236 (CVSS score : 5.8) - Numéros de séquence initiaux TCP prévisibles
CVE-2023-45237 (score CVSS : 5.3) - Utilisation d'un générateur de nombres pseudo-aléatoires faible
Conclusion
Les vulnérabilités de PixieFail soulignent la nécessité de mettre en place des mesures de sécurité robustes dans les configurations de démarrage en réseau. Selon le centre de coordination CERT (CERT/CC), l'impact et l'exploitabilité de ces vulnérabilités varient en fonction de la version spécifique du micrologiciel et de la configuration par défaut du démarrage PXE. PXE, essentiel pour le démarrage du réseau dans les systèmes d'entreprise, est utilisé à la fois dans les environnements de serveurs et d'ordinateurs de bureau.
Les attaquants doivent se trouver sur le même réseau que les appareils cibles pour exploiter les vulnérabilités de PixieFail. Quarkslab a également fourni des preuves de concept (PoC) pour aider les administrateurs de réseau à identifier les appareils vulnérables.
Les sources de cet article comprennent un article d'Eclypsium.