Gigabyte oddaljeno šari po vaši matični plošči
Matej Huš
31. maj 2023 ob 19:35:18
V Gigabytovih matičnih ploščah so odkrili kar preveč samoiniciativen firmware, ki se sam povezuje v internet in nalaga novo kodo, čeprav uporabnik tega sploh ne ve. Eclypsium poroča, da ima takšno funkcionalnost vsaj 271 modelov matičnih plošč. A glavni problem je globlji - Gigabyte je funkcijo implementiral na ranljiv način.
Nelagodno je, če se programska oprema posodablja od sebe, ne da bi uporabnika o tem obvestila ali ga morebiti celo vprašala za soglasje. Strojna oprema je že zdavnaj postala tako pametna, da ima znatne kose programske kode. UEFI v matičnih ploščah, ki domuje v firmwaru, se zlahka posodablja. In to je storil tudi Gigabyte, ki je v svoje plošče dodal funkcionalnost, ki naj bi skrbela, da so vedno opremljene z najnovejšo programsko opremo. Tako se ob vsakem zagonu firmware na strežnikih pozanima, ali obstaja novejša verzija, da bi jo prenesel in namestil.
To je problematično, a večji problem je izpeljava. Gigabytov program ne preverja, da je nova koda resnično podpisana z Gigabytovimi certifikati. To pomeni, da lahko napadalci brez težav izvedejo napad s prestrezanjem (man in the middle) in podtaknejo zlonamerno kodo, ki jo bo program preprosto snel (uporablja kar http!) in namestil. To bi vodilo v okužbo računalnika na nivoju firmwara na plošči, kar je praktično nemogoče očistiti. Še lažje napad poteka na ploščah, ki pokličejo kar lokalni naslov na NAS-u, kar je namenjeno poslovnim uporabnikom.
Gigabyte sicer pravi, da bo ranljivosti odpravil, a nič ne pravi, da bi nehal oddaljeno posodabljati plošče. Saj veste, pot v pekel je vedno tlakovana z najboljšimi nameni. Včasih pa tudi s slabimi.