[Oppdatering: Mfg. Statement] Populære SoC-styrer har en sikkerhetsfeil som ikke kan oppdateres, og etterlater mange bil-, industri- og militærkomponenter i fare

Forskere som gjennomførte en rutinemessig sikkerhetsrevisjon oppdaget nylig to alvorlige sikkerhetsfeil i et populært merke av System on a Chip (SoC) -tavler. Sikkerhetsproblemet undergraver sikker oppstartsfunksjonalitet. Det som er mest bekymringsfullt er det faktum at SoC er distribuert i flere kritiske komponenter som går inn i vanlige bransjesegmenter som bilindustri, luftfart, forbrukerelektronikk og til og med industrielt og militært utstyr. Hvis vellykket kompromittert, kunne SoC-styret lett fungere som en plattform for å starte sofistikerte og vedvarende angrep på noen av de mest kritiske infrastrukturene.

Sikkerhetsforskere med Inverse Path, som er F-Secures maskinvaresikkerhetsteam, oppdaget to sikkerhetsfeil i et populært SoC-merke som undergraver deres sikre oppstartsfunksjoner. Mens en kan adresseres, er begge sårbarhetene foreløpig ikke oppdatert. SoC-kortet er allment foretrukket for allsidighet og robust maskinvare, men sårbarhetene kan utgjøre noen alvorlige sikkerhetstrusler. Ifølge forskerteamet eksisterer feilene i ‘Encrypt Only’ sikker oppstartsmodus av SoC.

'Inverse Path' oppdager to sikkerhetsfeil i sikker oppstartsmodus av SoC:

Sikkerhetsforskere oppdaget de to sikkerhetsfeilene i et populært merke av SoC-kort produsert av Xilinx. Den sårbare komponenten er Xilinx Zynq UltraScale + -merke, som inkluderer System-on-Chip (SoC), multi-prosessor system-on-chip (MPSoC) og radiofrekvens system-on-chip (RFSoC) -produkter. Disse kortene og komponentene brukes ofte i bilindustrien, luftfart, forbrukerelektronikk, industrielle og militære komponenter.

De sikkerhetsproblemer angivelig undergrave de sikre oppstartsfunksjonene til SoC-kortet. Forskere la til at av de to sikkerhetsfeilene, kan en ikke oppdateres av en programvareoppdatering. Med andre ord, bare "en ny silisiumrevisjon" fra leverandøren skal kunne eliminere sårbarheten. Dette betyr at alle SoC-kortene fra Xilinxs Zynq UltraScale + -merke vil fortsette å være sårbare med mindre de byttes ut med nye versjoner.

Forskere har publisert en teknisk rapport på GitHub, som beskriver sikkerhetsproblemene. Rapporten nevner Xilinx Zynq UltraScale + Encrypt Only sikker oppstartsmodus krypterer ikke metadata for oppstartsbildet. Dette etterlater disse dataene sårbare for ondsinnede modifikasjoner, bemerket F-Secure’s, Adam Pilkey. "Angripere [er] i stand til å [tukle] med oppstartshodet i de tidlige stadiene av oppstartsprosedyren, [og] kan endre innholdet for å utføre vilkårlig kode og derved omgå sikkerhetstiltakene som tilbys i" krypter bare "-modus,"

Av de to sikkerhetsfeilene var den første i boot header-parsing utført av boot-ROMen. Det andre sikkerhetsproblemet var i analyseringen av partisjonstopptabeller. For øvrig kan det andre sikkerhetsproblemet også tillate ondsinnede angripere å injisere vilkårlig kode, men den var lappbar. Det som gjelder å merke seg at ingen av oppdateringene, hvis de noen gang ble utgitt for å adressere den andre sårbarheten, ville være overflødige. Dette er fordi angripere alltid kan omgå alle oppdateringer selskapet vil frigjøre, ved å utnytte den første feilen. Derfor har ikke Xilinx gitt ut en programvarefiks for den andre feilen.

Attack Scope Limited men Potential Damage High, hevder forskere:

Zynq UltraScale + SoC-er konfigurert til å starte opp i "bare kryptere" sikker oppstartsmodus påvirkes av dette problemet. Med andre ord, bare disse SoC-kortene blir berørt, og enda viktigere, disse må manipuleres for å starte i en bestemt modus, for å være sårbare. I normal drift er disse kortene sikre. Ikke desto mindre brukes sikker oppstartsmodus ofte av leverandører av utstyr. Programvareleverandører og utviklere er avhengige av denne modusen for å "håndheve autentisering og konfidensialitet av fastvare og annen programvare som er lastet inn i enheter som bruker Zynq UltraScale + SoCs som sin interne databehandlingskomponent."

Det mest begrensende aspektet ved sårbarheten er at angripere må ha fysisk tilgang til SoC-kortene. Disse angriperne må utføre et DPA-angrep (Differential Power Analysis) på SoC-kortenes oppstartssekvens for å sette inn skadelig kode. Gitt de foretrukne distribusjonsscenariene til Zynq UltraScale + SoC-kortene, er et fysisk angrep den eneste muligheten til angripere. Forøvrig er de fleste av disse kortene vanligvis distribuert i utstyr som ikke er koblet til et eksternt nettverk. Derfor er et fjernangrep ikke mulig.

Xilinx oppdaterer teknisk håndbok for å informere brukere om forebygging og beskyttelsesteknikker:

Interessant, det er en annen sikker oppstartsmodus som ikke inneholder sikkerhetsproblemene. Etter F-Secures funn utstedte Xilinx en sikkerhetsrådgivning som råder utstyrsleverandører å bruke den sikre oppstartsmodusen Hardware Root of Trust (HWRoT) i stedet for den eneste svakere kryptering. "HWRoT-oppstartsmodus autentiserer oppstarts- og partisjonsoverskrifter," bemerket Xilinx.

For systemene som er begrenset til å bruke den sårbare oppstartsmodusen Krypter bare, advares brukerne om å fortsette å overvåke DPA, uautentiserte oppstartsvektorer og partisjonshodeangrepvektorer. For øvrig er det ganske mange beskyttelsesteknikker på systemnivå som kan begrense eksponeringen av SoC-kortene for eksterne eller ondsinnede byråer som kan være til stede på stedet.

[Oppdatering]: Xilinx har nådd ut og bekreftet at den upatchbare feilen først og fremst eksisterer fordi kundene krevde at Encrypt Only-modus skulle gjøres tilgjengelig i Zynq UltraScale + SoC-merkevaren. Med andre ord bemerket selskapet designfunksjonen de implementerte etter kundebehov, ville utsette SoC for sikkerhetsrisiko. Xilinx la til at de alltid har advart kundene om at "de trenger å implementere ekstra sikkerhetsfunksjoner på systemnivå for å forhindre problemer."