Un ensemble de neuf vulnérabilités, collectivement appelées « PixieFail », affectent la pile de protocoles réseau IPv6 de l’EDK II de Tianocore, l’implémentation de référence open source de la spécification UEFI largement utilisée dans les ordinateurs et serveurs d’entreprise.
Les failles sont présentes dans le processus de démarrage du réseau PXE, qui est crucial pour le provisionnement des systèmes d’exploitation dans les centres de données et les environnements de calcul haute performance, et une procédure standard pour charger les images du système d’exploitation à partir du réseau au démarrage.
Les failles PixieFail ont été découvertes par les chercheurs de Quarkslab et ont déjà été divulguées aux fournisseurs concernés via un effort coordonné du CERT/CC et du CERT-FR.
Détails de PixieFail
Les vulnérabilités PixieFail résultent de l’implémentation d’IPv6 dans l’environnement d’exécution de pré-démarrage (PXE), qui fait partie de la spécification UEFI.
PXE permet le démarrage du réseau et son implémentation IPv6 introduit des protocoles supplémentaires, augmentant la surface d’attaque.
Les attaques PixieFail se composent de neuf failles qui peuvent être exploitées localement sur un réseau pour provoquer un déni de service (DoS), la divulgation d’informations, l’exécution de code à distance (RCE), l’empoisonnement du cache DNS et le détournement de session réseau.
Vous trouverez ci-dessous un résumé des neuf défauts de PixieFail:
- CVE-2023-45229: Mauvaise gestion des options IA_NA/IA_TA dans les messages publicitaires DHCPv6, entraînant un dépassement d’entier et une corruption potentielle de la mémoire.
- CVE-2023-45230: Gestion problématique des options d’ID de serveur longues dans DHCPv6, permettant un débordement de tampon et pouvant entraîner l’exécution de code à distance ou des pannes du système.
- CVE-2023-45231: Gestion problématique des options tronquées dans les messages de redirection de découverte de voisin (ND), entraînant une lecture hors limites.
- CVE-2023-45232: Faille dans l’analyse de l’en-tête des options de destination IPv6, où des options inconnues peuvent déclencher une boucle infinie, provoquant un déni de service.
- CVE-2023-45233: Problème de boucle infinie lors de l’analyse de l’option PadN dans l’en-tête des options de destination IPv6.
- CVE-2023-45234: Problème de dépassement de tampon lors de la gestion de l’option Serveurs DNS dans un message d’annonce DHCPv6.
- CVE-2023-45235: Vulnérabilité dans la gestion de l’option d’ID de serveur à partir d’un message d’annonce de proxy DHCPv6, entraînant un débordement de tampon.
- CVE-2023-45236: La pile TCP dans EDK II génère des numéros de séquence initiaux prévisibles, ce qui la rend vulnérable aux attaques de détournement de session TCP.
- CVE-2023-45237: Utilisation d’un générateur de nombres pseudo-aléatoires faible dans la pile réseau, facilitant potentiellement diverses attaques réseau.
Parmi ce qui précède, les plus graves sont CVE-2023-45230 et CVE-2023-45235, qui permettent aux attaquants d’exécuter du code à distance, ce qui peut entraîner une compromission complète du système.
Quarkslab a publié des exploits de validation de principe (PoC) qui permettent aux administrateurs de détecter les appareils vulnérables sur leur réseau.
Impact généralisé
Les vulnérabilités PixieFail ont un impact sur l’implémentation UEFI EDK II de Tianocore et sur d’autres fournisseurs utilisant son module NetworkPkg, y compris de grandes entreprises technologiques et des fournisseurs de BIOS.
Selon Quarkslab, cela inclut Arm Ltd., Insyde Software, Les Mégatendances américaines Inc. (AMI), Phoenix Technologies Inc., et Microsoft Corporation. L’avis de sécurité du CERT / CC indique également qu’Intel est touché.
Bien que le package EDK2 soit inclus dans l’arborescence du code source de ChromeOS, Google a précisé qu’il n’était pas utilisé dans les Chromebooks de production et qu’il n’était pas affecté par les défauts de PixieFail.
La divulgation initiale au CERT / CC a eu lieu le 3 août 2023 et la date limite de divulgation a été fixée au 2 novembre 2023, juste à la marque des 90 jours.
En raison de la complexité de la résolution des problèmes rencontrés par plusieurs fournisseurs, CERT/CC a déplacé la date de divulgation à plusieurs reprises, initialement le 1er décembre 2023, puis plus tard au 16 janvier 2024.
Pourtant, certains ont demandé un report plus important, Microsoft demandant que la date cible soit déplacée à mai 2024.
À l’heure actuelle, la plupart des correctifs des fournisseurs sont dans un état de test/non validé, et Tianocore a fourni des correctifs pour les sept premières vulnérabilités.