[Update: Mfg. Statement] Beliebte SoC-Boards weisen einen nicht zu überbrückenden Sicherheitsmangel auf, wodurch viele Automobil-, Industrie- und Militärkomponenten gefährdet sind
Forscher, die ein routinemäßiges Sicherheitsaudit durchführten, entdeckten kürzlich zwei schwerwiegende Sicherheitslücken innerhalb einer beliebten Marke von System on a Chip (SoC) -Karten. Die Sicherheitslücke untergräbt die sicheren Startfunktionen. Was am meisten betrifft, ist die Tatsache, dass der SoC in mehreren kritischen Komponenten eingesetzt wird, die in die gängigen Industriesegmente wie Automobil, Luftfahrt, Unterhaltungselektronik und sogar industrielle und militärische Geräte einfließen. Wenn erfolgreich kompromittiertDas SoC-Board könnte leicht als Plattform dienen, um ausgefeilte und anhaltende Angriffe auf einige der kritischsten Infrastrukturen zu starten.
Sicherheitsforscher von Inverse Path, dem Hardware-Sicherheitsteam von F-Secure, entdeckten zwei Sicherheitslücken innerhalb einer beliebten SoC-Marke, die ihre sicheren Startfunktionen untergraben. Während eine behoben werden kann, sind beide Schwachstellen derzeit nicht gepatcht. Das SoC-Board wird aufgrund seiner Vielseitigkeit und robusten Hardware allgemein bevorzugt, aber die Sicherheitslücken können einige ernsthafte Sicherheitsbedrohungen darstellen. Laut dem Forschungsteam liegen die Fehler im sicheren Startmodus "Nur verschlüsseln" des SoC.
"Inverser Pfad" entdeckt zwei Sicherheitslücken im sicheren Startmodus von SoC:
Sicherheitsforscher entdeckten die beiden Sicherheitslücken in einer beliebten Marke von SoC-Boards, die von Xilinx hergestellt wurden. Die anfällige Komponente ist die Marke Zynq UltraScale + von Xilinx, zu der System-on-Chip- (SoC), Multiprozessor-System-on-Chip- (MPSoC) und Hochfrequenz-System-on-Chip-Produkte (RFSoC) gehören. Diese Platinen und Komponenten werden üblicherweise in Automobil-, Luftfahrt-, Unterhaltungselektronik-, Industrie- und Militärkomponenten verwendet.
Das Sicherheitslücken untergraben angeblich die sicheren Boot-Fähigkeiten des SoC-Boards. Die Forscher fügten hinzu, dass einer der beiden Sicherheitslücken durch ein Software-Update nicht behoben werden kann. Mit anderen Worten, nur eine „neue Silizium-Revision“ des Anbieters sollte in der Lage sein, die Sicherheitsanfälligkeit zu beseitigen. Dies bedeutet, dass alle SoC-Karten der Marke Zynq UltraScale + von Xilinx weiterhin anfällig bleiben, sofern sie nicht gegen neue Versionen ausgetauscht werden.
Forscher haben einen technischen Bericht über GitHub veröffentlicht, in dem die Sicherheitslücken aufgeführt sind. Der Bericht erwähnt Xilinx Zynq UltraScale + Nur verschlüsseln Der sichere Startmodus verschlüsselt keine Metadaten des Startabbilds. Dadurch sind diese Daten anfällig für böswillige Änderungen, so Adam Pilkey von F-Secure. "Angreifer können den Startheader in den frühen Phasen des Startvorgangs manipulieren und seinen Inhalt so ändern, dass beliebiger Code ausgeführt wird, wodurch die Sicherheitsmaßnahmen umgangen werden, die der Modus" Nur verschlüsseln "bietet."
Von den beiden Sicherheitslücken war die erste die vom Boot-ROM durchgeführte Analyse des Boot-Headers. Die zweite Sicherheitsanfälligkeit bestand in der Analyse von Partitionsheadertabellen. Übrigens konnte die zweite Sicherheitsanfälligkeit auch böswilligen Angreifern ermöglichen, beliebigen Code einzufügen, der jedoch patchenfähig war. Beachten Sie, dass keiner der Patches, falls er jemals veröffentlicht wird, um die zweite Sicherheitsanfälligkeit zu beheben, redundant ist. Dies liegt daran, dass Angreifer jeden Patch, den das Unternehmen veröffentlichen würde, jederzeit umgehen könnten, indem sie den ersten Fehler ausnutzen. Daher hat Xilinx auch für den zweiten Fehler keinen Software-Fix veröffentlicht.
Angriffsbereich begrenzt, aber potenzieller Schaden hoch, behaupten Forscher:
Zynq UltraScale + SoCs, die für den Start im sicheren Startmodus "Nur verschlüsseln" konfiguriert sind, sind von diesem Problem betroffen. Mit anderen Worten, nur diese SoC-Karten sind betroffen, und was noch wichtiger ist, diese müssen manipuliert werden, um in einem bestimmten Modus zu booten und anfällig zu sein. Im Normalbetrieb sind diese Karten sicher. Der sichere Startmodus wird jedoch häufig von Geräteherstellern verwendet. Softwareanbieter und Entwickler verlassen sich auf diesen Modus, um „die Authentifizierung und Vertraulichkeit von Firmware und anderen Software-Assets zu erzwingen, die auf Geräten geladen sind, die Zynq UltraScale + SoCs als interne Computerkomponente verwenden“.
Der einschränkendste Aspekt der Sicherheitsanfälligkeit besteht darin, dass Angreifer physischen Zugriff auf die SoC-Boards haben müssen. Diese Angreifer müssen einen DPA-Angriff (Differential Power Analysis) auf die Startsequenz der SoC-Boards ausführen, um schädlichen Code einzufügen. Angesichts der bevorzugten Bereitstellungsszenarien der Zynq UltraScale + SoC-Karten ist ein physischer Angriff der einzige Rückgriff auf Angreifer. Übrigens werden die meisten dieser Karten in der Regel in Geräten eingesetzt, die nicht mit einem externen Netzwerk verbunden sind. Ein Fernangriff ist daher nicht möglich.
Xilinx aktualisiert das technische Handbuch, um Benutzer über Präventions- und Schutztechniken zu informieren:
Interessanterweise gibt es einen anderen sicheren Startmodus, der die Sicherheitslücken nicht enthält. Nach den Erkenntnissen von F-Secure gab Xilinx einen Sicherheitshinweis heraus, der Geräteherstellern empfiehlt, den sicheren Startmodus des Hardware Root of Trust (HWRoT) anstelle des schwächeren Verschlüsselungsmodus "Nur einen" zu verwenden. "Der HWRoT-Startmodus authentifiziert die Start- und Partitionsheader", bemerkte Xilinx.
Bei Systemen, die nur den anfälligen Startmodus "Nur verschlüsseln" verwenden, werden Benutzer darauf hingewiesen, die Überwachung auf DPA-, nicht authentifizierte Start- und Partitionsheader-Angriffsvektoren fortzusetzen. Im Übrigen gibt es einige Schutztechniken auf Systemebene, die die Exposition der SoC-Karten gegenüber externen oder böswilligen Agenturen, die möglicherweise vor Ort vorhanden sind, begrenzen können.
[Update]: Xilinx hat sich bemüht und bestätigt, dass der nicht zu behebende Fehler hauptsächlich darin besteht, dass die Kunden die Bereitstellung des Nur-Verschlüsselungs-Modus für die Marke Zynq UltraScale + SoC gefordert haben. Mit anderen Worten, das Unternehmen stellte fest, dass das Designmerkmal, das sie auf Kundenwunsch implementiert haben, den SoC einem Sicherheitsrisiko aussetzen würde. Xilinx fügte hinzu, dass Kunden immer gewarnt wurden, "dass sie zusätzliche Sicherheitsfunktionen auf Systemebene implementieren müssen, um Probleme zu vermeiden."