Najnovejše napake vdelane programske opreme v Qualcomm Snapdragon zahtevajo pozornost

Varnostno podjetje vodi usklajeno razkritje ranljivosti več ranljivosti visoke resnosti v Qualcommu Snapdragon čipov.

Ranljivosti so bile ugotovljene v referenčni kodi vdelane programske opreme Unified Extensible Firmware Interface (UEFI) in vplivajo na prenosne računalnike in naprave, ki temeljijo na ARM in uporabljajo čipe Qualcomm Snapdragon, glede na Binarly Research.

Qualcomm je razkril ranljivosti 5. januarja, skupaj s povezavami do razpoložljivih popravkov. Lenovo je izdal tudi bilten in posodobitev BIOS-a za odpravo napak v prizadetih prenosnikih. Vendar dve od ranljivosti še vedno nista odpravljeni, je opozoril Binarly.

Če jih izkoristijo, te ranljivosti strojne opreme napadalcem omogočajo pridobitev nadzora nad sistemom s spreminjanjem spremenljivke v obstojnem pomnilniku, ki trajno shranjuje podatke, tudi ko je sistem izklopljen. Spremenjena spremenljivka bo ogrozila fazo varnega zagona sistema in napadalec lahko pridobi trajen dostop do ogroženih sistemov, ko je izkoriščanje vzpostavljeno, pravi Alex Matrosov, ustanovitelj in izvršni direktor podjetja Binarly.

"V bistvu lahko napadalec manipulira s spremenljivkami na ravni operacijskega sistema," pravi Matrosov.

Napake vdelane programske opreme odpirajo vrata napadom

Varni zagon je sistem, nameščen v večini osebnih računalnikov in strežnikov, ki zagotavlja pravilen zagon naprav. Nasprotniki lahko prevzamejo nadzor nad sistemom, če je proces zagona zaobdan ali pod njihovim nadzorom. Lahko izvedejo zlonamerno kodo, preden se operacijski sistem naloži. Ranljivosti vdelane programske opreme so, kot bi pustili odprta vrata - napadalec lahko pridobi dostop do sistemskih virov, kakor in kadar hoče, ko je sistem vklopljen, pravi Matrosov.

»Del vdelane programske opreme je pomemben, ker lahko napadalec pridobi zelo, zelo zanimive zmožnosti obstojnosti, tako da lahko dolgoročno igra na napravi,« pravi Matrosov.

Napake so opazne, ker vplivajo na procesorje, ki temeljijo na arhitekturi ARM, ki se uporabljajo v osebnih računalnikih, strežnikih in mobilnih napravah. Na čipih x86 so odkrili številne varnostne težave Intel in AMD, vendar je Matrosov opozoril, da je to razkritje zgodnji pokazatelj varnostnih napak, ki obstajajo v zasnovah čipov ARM.

Razvijalci vdelane programske opreme morajo razviti miselnost, ki je na prvem mestu varnost, pravi Matrosov. Številni osebni računalniki se danes zaženejo na podlagi specifikacij, ki jih ponuja forum UEFI, ki ponuja kljuke za interakcijo programske in strojne opreme.

»Ugotovili smo, da je OpenSSL, ki se uporablja v vdelani programski opremi UEFI – je v različici ARM – zelo zastarel. Na primer, eden večjih ponudnikov TPM, imenovan Infineon, uporablja osem let staro različico OpenSSL,« pravi Matrosov.

Obravnava prizadetih sistemov

Lenovo je v svojem varnostnem biltenu dejal, da je ranljivost vplivala na BIOS prenosnega računalnika ThinkPad X13s. Posodobitev BIOS-a popravi napake.

Ranljivost vpliva tudi na Microsoftov Windows Dev Kit 2023 s kodnim imenom Project Volterra, je Binarly dejal v raziskovalnem zapisu. Projekt Volterra je zasnovan za programerje, ki pišejo in testirajo kodo za operacijski sistem Windows 11. Microsoft uporablja napravo Project Volterra za privabljanje običajnih razvijalcev sistema Windows x86 v ekosistem programske opreme ARM, izdaja naprave pa je bila vrhunska objava na konferencah Microsoft Build in ARM DevSummit lani.

O Ranljivosti Meltdown in Spectre v veliki meri vplivalo na čipe x86 v strežniških in osebnih infrastrukturah. Toda odkritje ranljivosti v zagonski plasti ARM je še posebej zaskrbljujoče, ker arhitektura poganja mobilni ekosistem z nizko porabo energije, ki vključuje 5G pametni telefoni in bazne postaje. Bazne postaje so vedno bolj v središču komunikacij za robne naprave in infrastrukture v oblaku. Napadalci bi se lahko obnašali kot operaterji in imeli bodo vztrajnost na baznih postajah in nihče ne bo vedel, pravi Matrosov.

Sistemski skrbniki morajo dati prednost popravkom napak v strojni programski opremi, tako da razumejo tveganje za svoje podjetje in ga hitro obravnavajo, pravi. Binarne ponudbe odprtokodna orodja za odkrivanje ranljivosti vdelane programske opreme.

»Vsa podjetja nimajo politik za zagotavljanje popravkov strojne programske opreme za svoje naprave. V preteklosti sem delal za velika podjetja in preden sem ustanovil lastno podjetje, nobeno od njih – tudi ta podjetja, povezana s strojno opremo – niso imela interne politike za posodabljanje vdelane programske opreme na prenosnih računalnikih in napravah zaposlenih. To ni prav,« pravi Matrosov.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems