Материалы по тегу: uefi
28.11.2024 [23:51], Владимир Мироненко
Обнаружен первый UEFI-буткит, нацеленный исключительно на LinuxИсследователи ESET сообщили о первом UEFI-бутките, нацеленном на Linux-системы. До этого злоумышленники использовали такого рода вредоносное ПО только для атак на компьютеры под управлением Windows, пишет BleepingComputer. Буткит Bootkitty (IranuKit) был загружен на платформу VirusTotal 5 ноября 2024 года в виде файла bootkit.efi. Как утверждают в ESET, по ряду признаков Bootkitty представляет собой подтверждение осуществимости атаки (proof-of-concept), которое работает только на некоторых версиях и конфигурациях Ubuntu и не является полноценной угрозой, используемой в реальных атаках. «Независимо от того, является ли это проверкой концепции или нет, Bootkitty знаменует собой интересный шаг вперед в ландшафте угроз UEFI, разрушая убеждение, что современные буткиты UEFI являются угрозами, эксклюзивными для Windows», — заявили исследователи, добавив, что появление буткита «подчеркивает необходимость быть готовым к потенциальным будущим угрозам». Как сообщили в ESET, основная цель буткита — отключить функцию проверки подписи ядра и предварительно загрузить два пока неизвестных двоичных файла ELF в процессе инициализации ядра. Bootkitty использует самоподписанный сертификат, поэтому он не будет выполняться в системах с включенной функцией Secure Boot, если только контролируемый злоумышленником сертификат уже не был прописан ранее. Во время загрузки компьютера буткит перехватывает функции в протоколах аутентификации безопасности UEFI, чтобы обойти проверки целостности Secure Boot, гарантируя загрузку буткита независимо от политик безопасности. После этого он подменяет функции проверки целостности и наличия подписи в загрузчике GRUB, в том числе для образа ядра. Затем Bootkitty перехватывает процесс распаковки ядра Linux и подменяет функцию проверки модулей ядра. Наконец, он позволяет прописать в LD_PRELOAD любую библиотеку, которая будет первой загружаться при запуске системы. Индикаторы компрометации (IoC), связанные с Bootkitty, были опубликованы в репозитории GitHub.
21.09.2023 [11:17], Сергей Карасёв
Numa BIOS адаптирован для работы в составе аппаратной платформы «АТБ Электроника»Компания «НумаТех» выполнила доработку и адаптацию Numa BIOS для функционирования в составе специализированной аппаратной платформы, разработанной для создания встраиваемых решений и программно-технических средств защиты информации — мини-компьютера АТБ-АТОМ-1.3. Названное устройство заключено в корпус с габаритами 150 × 150 × 30 мм. Максимальная конфигурация включает процессор Intel Atom E3845 поколения Bay Trail (4 ядра; 4 потока; 1,91 ГГц; 10 Вт). Объём оперативной памяти DDR3L-1067 (non-ECC) достигает 8 Гбайт. Numa BIOS — российский UEFI BIOS (в реестре российского ПО: рег. №5467 от 24.06.2019), являющийся полноценной альтернативой иностранным BIOS для средств вычислительной техники, построенных на платформах Intel и AMD под архитектуру x86/x64. Отмечается, что Numa BIOS не является «коробочным», кроссплатформенным продуктом, а его разработка и адаптация требует существенного инженерного потенциала и осуществляется для использования на каждой отдельной аппаратной платформе с учётом схемотехнической реализации и архитектурных особенностей такой платформы. Использование АТБ-АТОМ-1.3 с системой Numa BIOS и модулем доверенной загрузки Numa Arce (сертификат ФСБ России №СФ/527-4532 от 26.06.2023 года) открывает возможности для создания новых комплексных решений, в частности, криптографических шлюзов класса КС2/КС3, реализованных на базе программно-технических межсетевых экранов.
03.02.2023 [23:21], Алексей Степин
В прошивках BMC у 18 производителей серверного оборудования обнаружены серьёзные уязвимостиКак сообщает Dark Reading, исследователи из компании Eclypsium выявили в прошивках BMC у крупных производителей серверного оборудования опасные уязвимости под общим названием BMC&C, позволяющие злоумышленникам достаточно легко получить контроль над системой. Они затрагивают оборудование, поставляемое AMD, Ampere Computing, ASRock, Asus, Arm, Dell EMC, Gigabyte, HPE, Hitachi Vantara, Huawei, Inspur, Intel, Lenovo, NetApp, NVIDIA, Qualcomm, Quanta и Tyan. Таким образом, под угрозу попадает большое количество серверов, используемых, в том числе, крупными провайдерами облачных услуг, однако Eclypsium пока затрудняется в оценке масштаба данной проблемы. Очевидно, что для атаки требуется подключение сервера к Сети. Последние прошивки AMI MegaRAC базируются на открытом проекте OpenBMC, поэтому их особенности известны широкому кругу разработчиков, включая потенциальных злоумышленников. О первых трёх уязвимостях Eclypsium сообщила ещё в декабре прошлого года, а публикацию информации об ещё двух было решено отложить до конца января, чтобы дать AMI время на выпуск патчей. Уязвимость CVE-2022-26872 позволяет атакующему удалённо сбросить пароль доступа в определённый момент между использованием одноразового пароля и заданием нового. Другая уязвимость, CVE-2022-40258, описывает хеширование паролей с помощью достаточно слабого алгоритма, который может быть взломан. Однако есть и более серьёзные проблемы: так, в API имеются опасные команды (CVE-2022-40259), а использование параметров доступа по умолчанию (CVE-2022-40242) и вовсе допускает выполнение произвольного кода. Еще одна уязвимость, CVE-2022-2827, позволяет получить список пользователей. Как полагают специалисты Eclypsium, в утечке потенциально опасной информации вины AMI нет. Вероятнее всего, она произошла, когда один из поставщиков оборудования столкнулся с группой вымогателей. В настоящее время AMI выпущены «заплатки» для всех пяти уязвимостей и крупные компании уже сообщили своим клиентам о проблеме и способах её решения, однако далеко не все из них подготовили патчи для всех затронутых продуктов — в случае некоторых вендоров этот процесс затянется до мая 2023 года. |
|