[Opdatering: Mfg. Erklæring] Populære SoC-bestyrelser har en sikkerhedsfejl, der ikke kan patches, hvilket efterlader mange bil-, industrielle og militære komponenter i fare
Forskere, der gennemfører en rutinemæssig sikkerhedsrevision, opdagede for nylig to alvorlige sikkerhedsfejl inden for et populært mærke af System on a Chip (SoC) -tavler. Sikkerhedssårbarheden underminerer sikre opstartsfunktioner. Det, der er mest bekymrende, er det faktum, at SoC er indsat i flere kritiske komponenter, der går ind i almindelige industrisegmenter som bilindustri, luftfart, forbrugerelektronik og endda industrielt og militært udstyr. Hvis med succes kompromitteretkunne SoC-bestyrelsen let fungere som en platform til at iværksætte sofistikerede og vedvarende angreb på nogle af de mest kritiske infrastrukturer.
Sikkerhedsforskere med Inverse Path, som er F-Secures hardware-sikkerhedsteam, opdagede to sikkerhedsfejl inden for et populært SoC-brand, der underminerer deres sikre opstartsfunktioner. Mens en kan adresseres, er begge sårbarheder ikke i øjeblikket upatchede. SoC-kortet foretrækkes bredt på grund af dets alsidighed og robuste hardware, men sårbarhederne kan udgøre nogle alvorlige sikkerhedstrusler. Ifølge forskergruppen findes fejlene i 'Encrypt Only' sikker opstartstilstand i SoC.
'Inverse Path' opdager to sikkerhedsfejl i Secure Boot-tilstand af SoC:
Sikkerhedsforskere opdagede de to sikkerhedsfejl i et populært mærke af SoC-kort fremstillet af Xilinx. Den sårbare komponent er Xilinx's Zynq UltraScale + -mærke, som inkluderer System-on-Chip (SoC), multi-processor system-on-chip (MPSoC) og radiofrekvens system-on-chip (RFSoC) produkter. Disse kort og komponenter bruges ofte inden for bilindustrien, luftfart, forbrugerelektronik, industrielle og militære komponenter.
Det sikkerhedssårbarheder angiveligt undergrave SoC-kortets sikre opstartsfunktioner. Forskere tilføjede, at af de to sikkerhedsfejl kan den ene ikke opdateres af en softwareopdatering. Med andre ord, kun "en ny siliciumversion" fra sælgeren skal være i stand til at eliminere sårbarheden. Dette betyder, at alle SoC-kort fra Xilinxs Zynq UltraScale + -mærke fortsat forbliver sårbare, medmindre de byttes ud med nye versioner.
Forskere har offentliggjort en teknisk rapport om GitHub, der beskriver sikkerhedssårbarhederne. Rapporten nævner Xilinx Zynq UltraScale + Encrypt Only sikker opstartstilstand krypterer ikke metadata for opstartsbillede. Dette efterlader disse data sårbare over for ondsindede ændringer, bemærkede F-Secures, Adam Pilkey. "Angribere [er] i stand til at [manipulere] med boot-headeren i de tidlige stadier af opstartsproceduren, [og] kan ændre dens indhold til at udføre vilkårlig kode og derved omgå de sikkerhedsforanstaltninger, der tilbydes i" krypter kun "-tilstanden,"
Af de to sikkerhedsfejl var den første i boot-header-parsing udført af boot-ROM'en. Den anden sårbarhed var i parsingen af partitionshovedtabeller. I øvrigt kunne den anden sårbarhed også give ondsindede angribere mulighed for at indsprøjte vilkårlig kode, men den var patchbar. Hvad der vedrører at bemærke, at ingen af programrettelserne, hvis de nogensinde blev frigivet for at løse den anden sårbarhed, ville være overflødige. Dette skyldes, at angribere altid kunne omgå enhver patch, som virksomheden ville frigive, ved at udnytte den første fejl. Derfor har Xilinx heller ikke frigivet en softwarefix til den anden fejl.
Attack Scope Limited men Potential Damage High, hævder forskere:
Zynq UltraScale + SoC'er, der er konfigureret til at starte i "kun krypteret" sikker opstartstilstand, påvirkes af dette problem. Med andre ord er kun disse SoC-kort påvirket, og vigtigere er, disse skal manipuleres for at starte i en bestemt tilstand for at være sårbare. I normal drift er disse kort sikre. Ikke desto mindre bruges sikker opstartstilstand ofte af leverandører af udstyr. Softwareleverandører og -udviklere er afhængige af denne tilstand til at "håndhæve godkendelse og fortrolighed af firmware og andre softwareaktiver, der er indlæst i enheder, der bruger Zynq UltraScale + SoCs som deres interne computerkomponent."
Det mest begrænsende aspekt af sårbarheden er, at angribere skal have fysisk adgang til SoC-kortene. Disse angribere bliver nødt til at udføre et DPA-angreb (Differential Power Analysis) på SoC-kortenes opstartssekvens for at indsætte ondsindet kode. I betragtning af de foretrukne implementeringsscenarier for Zynq UltraScale + SoC-kortene er et fysisk angreb det eneste middel til angribere. I øvrigt er de fleste af disse kort generelt implementeret i udstyr, der ikke er forbundet til et eksternt netværk. Derfor er et fjernangreb ikke muligt.
Xilinx opdaterer teknisk manual til at uddanne brugere om teknikker til forebyggelse og beskyttelse:
Interessant er der en anden sikker opstartstilstand, der ikke indeholder sikkerhedssårbarhederne. Efter F-Secures fund udstedte Xilinx en sikkerhedsrådgivning, der råder udstyrsleverandører til at bruge den sikre opstartsfunktion Hardware Root of Trust (HWRoT) i stedet for kun den svagere kryptering. "HWRoT-starttilstanden godkender boot- og partitionsoverskrifterne," bemærkede Xilinx.
For de systemer, der er begrænset til at bruge den sårbare Encrypt Only-starttilstand, advares brugerne om at holde øje med DPA, uautoriserede opstarts- og partitionshovedangrebsvektorer. I øvrigt er der en hel del beskyttelsesteknikker på systemniveau, som kan begrænse eksponeringen af SoC-kortene for eksterne eller ondsindede agenturer, der kan være til stede på stedet.
[Opdatering]: Xilinx har nået ud og bekræftet, at den ikke-patchbare fejl primært eksisterer, fordi kunderne krævede, at tilstanden Encrypt Only skal gøres tilgængelig i Zynq UltraScale + SoC-mærket. Med andre ord bemærkede virksomheden designfunktionen, de implementerede efter kundernes efterspørgsel, ville udsætte SoC for sikkerhedsrisici. Xilinx tilføjede, at det altid har advaret kunder om, at de ”har brug for at implementere yderligere sikkerhedsfunktioner på systemniveau for at forhindre problemer.”