Több száz Gigabyte modellen található backdoor, amely több millió eszközt érint

Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.

A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.

Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.

Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.

A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.

Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.

“A Gigabyte mérnökei már csökkentették a lehetséges kockázatokat, és feltöltötték az Intel 700/600 és AMD 500/400 sorozatú béta BIOS-t a hivatalos weboldalra, miután alapos tesztelést és validálást végeztek az új BIOS-okon” – jelentette be a vállalat.

Az Intel 500/400-as és AMD 600-as sorozatú chipkészletű, valamint a korábban kiadott alaplapokhoz készült BIOS frissítések szintén megjelentek.

A frissítés szigorúbb biztonsági ellenőrzéseket hajt végre a rendszerindítás során, beleértve a távoli szerverekről letöltött fájlok erősebb validálását és a távoli szervertanúsítványok szabványos ellenőrzését is. Az új biztonsági fejlesztések a vállalat szerint megakadályozzák, hogy a támadók rosszindulatú kódot illesszenek be a rendszerindítás során, és garantálják, hogy a folyamat során letöltött fájlok érvényes és megbízható tanúsítványokkal rendelkező szerverekről származnak.

A szervezeteknek és a végfelhasználóknak is érdemes áttekinteniük a fent említett listát, és amennyiben érintettek, akkor a Gigabyte weboldalán ellenőrizhetik és letölthetik a 2023. június 1. után kiadott BIOS frissítéseket.

Források: (securityweek.com 1, 2)