פגמי הקושחה האחרונים ב-Qualcomm Snapdragon זקוקים לתשומת לב

חברת אבטחה מובילה גילוי פגיעות מתואם של פגיעויות מרובות בחומרה גבוהה בקוואלקום לוֹעַ הָאֲרִי שבבים.

הפגיעויות זוהו בקוד ההתייחסות לקושחה Unified Extensible Firmware Interface (UEFI) ומשפיעות על מחשבים ניידים והתקנים מבוססי ARM המשתמשים בשבבי Snapdragon של Qualcomm, לפי Binarly Research.

קוואלקום חשפה את נקודות התורפה ב-5 בינואר, יחד עם קישורים לתיקונים זמינים. לנובו גם הוציאה עלון ועדכון BIOS כדי לטפל בפגמים במחשבים ניידים שנפגעו. עם זאת, שתיים מהחולשות עדיין אינן מתוקנות, ציין Binarly.

אם מנוצלות, פגיעויות החומרה הללו מאפשרות לתוקפים להשיג שליטה על המערכת על ידי שינוי משתנה בזיכרון לא נדיף, המאחסן נתונים לצמיתות, גם כאשר המערכת כבויה. המשתנה שהשתנה יסכן את שלב האתחול המאובטח של מערכת, ותוקף יכול לקבל גישה מתמשכת למערכות שנפרצו ברגע שהניצול יתבצע, אומר אלכס מטרוסוב, המייסד והמנכ"ל של Binarly.

"בעיקרון, התוקף יכול לתפעל משתנים מרמת מערכת ההפעלה", אומר מטרושוב.

פגמי קושחה פותחים את הדלת להתקפות

אתחול מאובטח הוא מערכת הנפרסת ברוב המחשבים והשרתים כדי להבטיח שההתקנים מתחילים כהלכה. יריבים יכולים להשתלט על המערכת אם תהליך האתחול עוקף או בשליטתם. הם יכולים להפעיל קוד זדוני לפני טעינת מערכת ההפעלה. פרצות קושחה הן כמו השארת דלת פתוחה - תוקף יכול לקבל גישה למשאבי מערכת כרצונו וכאשר המערכת מופעלת, אומר Matrosov.

"חתיכת הקושחה חשובה כי התוקף יכול להשיג יכולות התמדה מאוד מאוד מעניינות, כך שהוא יכול לשחק לטווח ארוך במכשיר", אומר Matrosov.

הפגמים בולטים מכיוון שהם משפיעים על מעבדים המבוססים על ארכיטקטורת ARM, המשמשים במחשבים אישיים, שרתים ומכשירים ניידים. מספר בעיות אבטחה התגלו בשבבי x86 מ אינטל ו AMD, אך Matrosov ציין כי חשיפה זו היא אינדיקטור מוקדם לליקוי אבטחה הקיימים בעיצובי שבבי ARM.

מפתחי קושחה צריכים לפתח חשיבה ראשונה באבטחה, אומר Matrosov. מחשבים רבים כיום מאתחלים בהתבסס על מפרטים שסופקו על ידי UEFI Forum, המספק את הווים לאינטראקציה בין התוכנה והחומרה.

"גילינו ש-OpenSSL, שנמצאת בשימוש בקושחה של UEFI - זה בגרסת ARM - מאוד מיושן. כדוגמה, אחת מספקיות ה-TPM הגדולות בשם Infineon, היא משתמשת בגרסת OpenSSL בת שמונה שנים", אומר Matrosov.

טיפול במערכות מושפעות

בעלון האבטחה שלה, לנובו אמרה שהפגיעות השפיעה על ה-BIOS של המחשב הנייד ThinkPad X13s. עדכון ה-BIOS מתקן את הפגמים.

ערכת Windows Dev 2023 של מיקרוסופט, בשם הקוד Project Volterra, מושפעת גם היא מהפגיעות, אמר Binarly בהערת מחקר. Project Volterra מיועד למתכנתים לכתוב ולבדוק קוד עבור מערכת ההפעלה Windows 11. מיקרוסופט משתמשת במכשיר Project Volterra כדי לפתות מפתחי Windows x86 קונבנציונליים למערכת האקולוגית של תוכנת ARM, והשחרור של המכשיר היה הכרזה מובילה בכנסים Build ו- DevSummit של מיקרוסופט בשנה שעברה.

אל האני פגיעות של התמוטטות וספקטר השפיע במידה רבה על שבבי x86 בתשתיות שרתים ומחשבים אישיים. אבל הגילוי של נקודות תורפה בשכבת האתחול של ARM מדאיג במיוחד מכיוון שהארכיטקטורה מניעה מערכת אקולוגית ניידת בעלת הספק נמוך, הכוללת סמארטפונים 5G ותחנות בסיס. תחנות הבסיס נמצאות יותר ויותר במרכז התקשורת עבור התקני קצה ותשתיות ענן. תוקפים יכולים להתנהג כמו מפעילים, ויהיה להם התמדה בתחנות בסיס ואף אחד לא יידע, אומר מאטרוסוב.

מנהלי מערכת צריכים לתעדף תיקון פגמי קושחה על ידי הבנת הסיכון לחברה שלהם וטיפול בו במהירות, הוא אומר. הצעות בינאריות כלי קוד פתוח לזיהוי פרצות קושחה.

"לא לכל חברה יש מדיניות לספק תיקוני קושחה למכשירים שלה. עבדתי בעבר בחברות גדולות, ולפני שהקמתי חברה משלי, לאף אחת מהן - אפילו לחברות הקשורות לחומרה הללו - לא הייתה מדיניות פנימית לעדכן את הקושחה במחשבים ניידים ומכשירים של עובדים. זה לא נכון", אומר מטרוסוב.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems