“PKfail”漏洞曝光:全球近千種設備安全啟動機制失效
責編:gltian |2024-09-19 11:13:09近日安全研究人員發(fā)現從游戲機到總統大選投標機的海量設備仍然使用不安全的測試密鑰,容易受到UEFI bootkit惡意軟件的攻擊。
安全啟動不安全
在近期的安全研究中,一項涉及設備制造行業(yè)安全啟動(Secure Boot)保護機制的供應鏈失敗問題引發(fā)了廣泛關注。此次事件波及的設備型號范圍遠比之前已知的要廣泛得多,受影響的設備涵蓋了ATM機、POS機、甚至投票機等多個領域。
這一問題源自于過去十年間,數百種設備型號中使用了非生產環(huán)境的測試平臺密鑰,這些密鑰在其根證書中標注了“DO NOT TRUST”(請勿信任)等警示語,此類密鑰原本應僅用于測試環(huán)境,但設備制造商卻將其應用于生產系統。
平臺密鑰作為加密的“信任根”錨定了硬件設備與其運行的固件之間的信任關系,確保安全啟動機制正常運行。然而,由于大量用于測試安全啟動主密鑰的私鑰被泄漏,極大地削弱了這一安全機制的有效性。研究發(fā)現,2022年甚至有人將一部分私鑰在GitHub上公開發(fā)布。這些信息為攻擊者提供了必要條件,能夠通過植入“根工具包”(Rootkits)等惡意軟件,破壞設備的UEFI(統一可擴展固件接口)安全啟動保護。
500多種設備存在隱患
此次供應鏈安全事件被Binarly命名為“PKfail”(CVE-2024-8105),意指平臺密鑰(Platform Key)失效。此次失敗展示了供應鏈復雜性已超出用戶當前的風險管理能力,特別是在涉及第三方供應商時。不過,研究人員指出,這一風險完全可以通過“安全設計理念”進行規(guī)避和緩解。
根據Binarly的最新報告,受此問題影響的設備型號遠超此前的認知。Binarly的研究工具在過去幾個月中收集到了10095個固件樣本,其中791個(約占8%)包含了非生產密鑰。
受PKfail影響的固件數量 來源:Binarly
最初,Binarly識別出了大約513種設備型號使用了測試密鑰,目前一數字已增長至972種。此外,最早報告的215個受影響型號中,有490個型號使用了在GitHub上公開的密鑰。研究人員還發(fā)現了四個新的測試密鑰,使得總數達到了約20個。
此前發(fā)現的密鑰均來自AMI,這是一家為設備制造商提供UEFI固件開發(fā)工具包的主要供應商之一。自7月以來,Binarly還發(fā)現了AMI的其他兩大競爭對手Insyde和Phoenix的密鑰同樣存在問題。
更多的受影響設備還包括:
- Hardkernel的odroid-h2、odroid-h3和odroid-h4
- Beelink Mini 12 Pro
- Minisforum HX99G
Binarly進一步指出,受影響的設備不僅限于桌面電腦和筆記本電腦,還包括大量醫(yī)療設備、游戲機、企業(yè)級服務器、ATM機、銷售終端設備,甚至包括投票機!由于目前尚無修復方案,研究人員基于保密協議未披露具體的設備型號。Binarly發(fā)布了“PKfail掃描儀”,供應商可以自行上傳固件映像查看是否使用了測試密鑰。
此次事件表明,安全啟動作為一種設備預啟動階段的加密保護機制,盡管被廣泛應用于政府承包商和企業(yè)環(huán)境中,但其安全性依然存在隱患,其供應鏈管理中存在重大漏洞。
參考鏈接:
http://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact