התגלו פגמי אבטחה ב-40 מנהלי התקנים ליבתיים של ספקיות גדולות
הגילוי של חברת האבטחה אקליפסיום הוא במנהלי התקנים של כ-20 חברות, מהגדולות בתחום התשתית והחומרה, בהן משתמשים ארגונים בכל רחבי העולם ● בין השאר הוזכרו החברות AMD, אינטל, נבידיה, וואווי, גיגה-בייט, רילטק, ועוד רבות אחרות
חוקרי אקליפסיום, חברת אבטחה המתמחה לדבריה בהגנה על הקושחה והחומרה של התשתיות הארגוניות, הציגו בכנס DEF CON 27 תוצאות מחקר ממנו עולה כי הם מצאו בעיות אבטחה מובנות, עוד משלב התכנון, ביותר מ-40 מנהלי התקנים המקושרים לליבה התפעולית.
מדובר במנהלי התקנים המסופקים ומפותחים בידי כ-20 חברות, מהגדולות בתחום התשתית והחומרה, בהן משתמשים ארגונים בכל רחבי העולם. ברשימה ניתן למצוא את AMD, אינטל, נבידיה, וואווי, גיגה-בייט, רילטק, ועוד רבות אחרות.
לפי החוקרים, בעיית התכנון השכיחה ביותר היא יישומים שמורצים ברמת ההרשאה הנמוכה ביותר ויכולים לספק לגיטימציה לפונקציות שונות של מנהל ההתקן, כך שניתן יהיה בעצם לתפעל פעילויות שיכולות לגרום נזק בחלקים הרגישים ביותר של מערכות ההפעלה, בעיקר במערכת ההפעלה חלונות, ובעיקר בליבה שלה.
בעיות שנוצרות בגלל הרגלי כתיבת קוד רעים
"יש מספר משאבי חומרה שבדרך כלל נגישים רק באמצעות תוכנה שיש לה הרשאות, כמו לדוגמה הליבה של Windows. מכיוון שכך, יש להגן עליהם מפני פעולות קריאה/כתיבה מרושעות, שמגיעות מיישומים במרחב העבודה של המשתמשים. השגיאות בתכנון צפות כשמנהלי התקנים חתומים מספקים תפקודיות שניתנת לשימוש בידי יישומי משתמשים, ומאפשרים פעולות קלט/פלט במשאבים רגישים מבלי מגבלה או בדיקה בכלל של מיקרוסופט", סיפר מיקי שחטוב, אחד מהחוקרים הראשיים באקליפסיום.
לפי החברה, מדובר בבעיות שנוצרות בגלל הרגלי כתיבת קוד רעים שלא לוקחים בחשבון אבטחה, במיוחד בעידן הסייבר, כך שבמקום לכתוב קוד מוגדר לביצוע פעולות מסוימות בלבד, נכתב קוד גמיש יותר, שבסופו של דבר מאפשר תפעול מרושע.
שחטוב סיפר כי החברה שלחה הודעות על הבעיה במנהלי ההתקנים לכל החברות הנוגעות בדבר, ושחלקן כבר הוציאו עדכונים. הוא אף סיפר שיש עוד כמה חברות ברשימה שעדיין לא הוזכרו, כי קיבלו את ההודעה מאוחר מהאחרות, כשבהמשך מתכוונים באקליפסיום לפרסם את כל מנהלי ההתקנים הבעייתיים ב-GitHub.
תגובות
(0)