出典: hodim via Shutterstock
自動化されたファームウェア解析ツールや、コンピュータのプロセッサやメモリを検査するための技術的ハードウェアのコスト低下により、ファームウェアの脆弱性やマザーボードのセキュリティの弱点に関する報告が急増しています。
最新の例として、マザーボードメーカーのGigabyteは7月10日、独立系BIOSベンダーAMIが提供するファームウェアの元々の問題が数年前に修正されていたにもかかわらず、4つのファームウェア脆弱性が自社プラットフォームに残っていたことを公表しました。これらの問題は、古いIntelベースのシステムのSystem Management Mode(SMM)モジュールに影響すると、Gigabyteは公開文書で述べています。
「これらの脆弱性が悪用されると、ローカルアクセスを持つ攻撃者が特権を昇格させたり、極めて高い特権を持つSMM環境内で任意のコードを実行したりする可能性があります」と同社は述べています。
ファームウェアは、マザーボード上のチップやハードウェアとコンピュータのオペレーティングシステムの間に位置する最も低レベルのソフトウェアであり、攻撃者や脆弱性研究者がますます注目するソフトウェアの接着剤のような役割を果たしています。過去2か月間で、Gigabyteの問題を発見したファームウェアセキュリティ企業Binarlyは、DellデバイスのSMM問題や、Unified Extensible Firmware Interface(UEFI)Secure Bootの回避などを公表しており、来月にはLenovoデバイスの脆弱性も公表する予定です。
サイバーセキュリティ企業ESETは、攻撃者によって作成されたUEFIブートキットを発見しており、2024年にはLinuxシステム向けのBootkittyや、2023年のBlackLotus UEFIブートキットなどが含まれます。
多くのマザーボードメーカーや独立系BIOSベンダー(IBV)にとっての問題は、利益率が低い一方で、ファームウェアやマザーボードハードウェアを調査するためのソフトウェアや機器のコストが比較的安価になっていることだと、攻撃的セキュリティサービスプロバイダーCobaltの最高技術責任者Gunter Ollmann氏は述べています。
「ファームウェアやハードウェアを調査するためのスキルやツールは、かつては入手が難しかった」と彼は言います。「しかし、他のシステム層がより安全になり、今では毎月の必須パッチがある中で、ファームウェアはより狙われやすいターゲットとなり、[脅威アクター]はファームウェア開発におけるサプライチェーンプロセスの甘さを露呈し始めています。」
市場投入のスピードがセキュリティに優先
Dell、HP、Lenovoなどの大手エンタープライズベンダーがハードウェアやファームウェアのセキュリティにリソースを投入している一方で、独立系BIOSベンダー(IBV)はしばしばセキュリティを軽視していると、Binarlyの創設者兼CEOであるAlex Matrosov氏は述べています。
「最大の問題は、デバイス市場が非常に競争的であり、ベンダーは市場投入までの時間だけでなく、価格面でも競争していることです」とMatrosov氏は言います。「多くの場合、一部のデバイスメーカーはセキュリティを不要な追加コストと見なしています。」
サプライチェーンの複雑さは、ファームウェアやマザーボードの開発者にとって唯一の課題ではないと、ESETのマルウェア研究者Martin Smolár氏は述べています。コードの複雑さも大きな問題だと彼は言います。
「UEFIファームウェアは、サイズや複雑さの点でオペレーティングシステムに匹敵するものであることを知っている人はほとんどいません。実際に何百万行ものコードで構成されています」と彼は言います。「そして、コードが多ければ多いほど、ミスが生じる余地も増えます。」
Matrosov氏もコードの複雑さを大きな問題として挙げています。「現在のUEFIベースのファームウェアは、独自のUSBやネットワークスタック、時にはAIコパイロットまで備えた非常に複雑なリアルタイムオペレーティングシステムになっています」と彼は言います。
Gigabyteのファームウェアの苦境
セキュリティを妨げる慣行の一つとして、ベンダーはしばしば秘密保持契約の下でのみセキュリティ修正を配布しようとするため、多くのノートPC OEMが自社コードの潜在的な脆弱性に気付かないままとなっています。これがまさにGigabyteのマザーボードに脆弱なファームウェアバージョンが残った状況です。ファームウェアベンダーのAMIは数年前に問題を修正しましたが、その修正はすべてのマザーボードOEMにまで広がっていません。
「[これらの脆弱性は]以前に非公開で対処されていましたが、Gigabyteの場合のように一部のOEMファームウェアビルドには依然として脆弱な実装が残っています」とCERT/CCの報告書は述べています。
これらは古いシステムに影響しますが、Gigabyteの問題は重大であり、コンピュータやサーバーのオペレーティングシステムが侵害された場合、攻撃者がシステムを永続的に制御できる可能性があると、脆弱性に関する報告書(カーネギーメロン大学ソフトウェア工学研究所のCERT Coordination Center(CERT/CC)による)で述べられています。
「悪用されると、Secure BootやIntel BootGuardなどのUEFIセキュリティ機構が無効化され、ステルス性の高いファームウェアインプラントやシステムの永続的な制御が可能になります」と報告書は述べています。「SMMはOSより下の層で動作するため、このような攻撃は従来のエンドポイント保護ツールでは検知や対策が困難です。」
より良いツールの導入が必要
重大なセキュリティ問題の一因は、ファームウェアベンダーがファームウェアセキュリティに特化した自動化やドメイン固有の脆弱性管理ツールを十分に活用していないことです。
しかし、ファームウェアはマザーボードにより良く、より最新のハードウェアが統合されるにつれて常に進化しているため、ツールセットも近代化する必要があるとCobaltのOllmann氏は述べています。
「ある意味で、BIOSはかつて静的なターゲットではなかったし、今後もそうなることはありません」と彼は言います。「常に進化していて、マザーボードアーキテクチャに投入されているすべてのイノベーションや、そこを経由して接続しなければならないすべての周辺機器を考えれば……常に探すべき脆弱性が存在するでしょう。」
自社システムが最新の問題の影響を受けているか心配する企業は、システムの整合性を検証するために大きな労力を要します。ファームウェアの侵害を検出するのは難しいですが、不可能ではありません。ソフトウェアを使えば、オペレーティングシステムレベルからファームウェアを検査でき、専用のハードウェアデバイスを使えばUEFIメモリチップから直接ファームウェアを読み取ることもできると、ESETのSmolár氏は述べています。
「一度ファームウェアが侵害されると、悪意のあるコンポーネントの発見や除去は困難ですが、通常は不可能ではありません」と彼は言います。「除去するには、ハードウェアプログラマデバイスを使って既知の良好なファームウェアバックアップで再フラッシュするのが最も便利な方法でしょう。」
Smolár氏は、マザーボードメーカーや独立系BIOSベンダーはセキュリティを最優先し、開発者への継続的なセキュアコーディング教育を提供し、暗号鍵の管理を改善し、セキュリティ機能がデフォルトで有効になっていることを確認する必要があると付け加えています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/firmware-vulnerabilities-plague-supply-chain