Yazılım güvenlik firması Binarly, 2023’te Acer, Dell, Gigabyte, Intel ve Supermicro’dan gelen cihazların Secure Boot’u tehlikeye attığını keşfetti. Bu modelleri koruyan kriptografik anahtar, 2022’nin sonlarında herkese açık bir GitHub deposunda sızdırıldı. Bunu indiren herkes Secure Boot’un sunduğu korumayı aşabilirdi.
2022 sızıntısı dışında, Ars Teknik ayrıca 300’den fazla modelin ‘GÖNDERMEYİN’ veya ‘GÜVENMEYİN’ olarak işaretlenmiş 21 platform anahtarı kullandığını bildirdi. Bu 21 anahtar, American Megatrends, Inc. (AMI) tarafından UEFI aygıt yazılımlarını özelleştirmek için anakart üreticilerine test anahtarları olarak sağlandı. Bu, AMI ile çalışan neredeyse tüm üreticilerin bu anahtarların bir kopyasına sahip olduğu ve bunların yüzlerce, hatta binlerce personel tarafından bilinen açık bir endüstri sırrı olduğu anlamına gelir.
Binarly kurucusu ve CEO’su Alex Matrosov, “Bir apartman binasındaki tüm insanların aynı ön kapı kilidi ve anahtarına sahip olduğunu düşünün. Birisi anahtarı kaybederse, bu tüm bina için bir sorun olabilir. Peki ya işler daha da kötüye giderse ve diğer binalarda aynı kilit ve anahtarlar varsa?” diyor ve ekliyor, “Anahtar sızdırılırsa, ekosistemi etkiler. Tek bir cihazı etkilemez.”
GitHub’da sızdırılan anahtardan etkilenen beş şirketin yanı sıra, aşağıdaki üreticiler de test anahtarlarından etkilendi: Aopen, Foremelife, Fujitsu, HP ve Lenovo. Bu Güvenli Önyükleme sızıntısının yaygın etkisi, Binarly, tüm sektörün kriptografik anahtarların uygun şekilde yönetilmesindeki başarısızlığını kabul ederek buna PKfail (Platform Anahtarı başarısızlığı) adını verdi.
Binarly ekibine göre PKfail, tedarik zinciri güvenliğiyle ilgili birkaç sorunu vurguluyor:
- Kötü kriptografik materyal yönetimi ve özel anahtarların doğrudan derleme betiklerinden gelen sabit kodlanmış yolla kod depolarında görünmesi.
- Üretim yazılımlarının ve aygıtlarının platform güvenliğinden sorumlu olan üretim dışı kriptografik anahtarların kullanımı.
- Platform güvenlik şifreleme anahtarlarının ürün hattı başına rotasyonu yok. Örneğin, aynı şifreleme anahtarları istemci ve sunucuyla ilgili ürünlerde doğrulandı. Benzer davranış Intel Boot Guard referans kodu anahtar sızıntısında tespit edildi. Aynı OEM, farklı cihaz üreticileri için üretilen aygıt yazılımı için aynı platform güvenliğiyle ilgili şifreleme anahtarlarını kullandı. Benzer davranış Intel Boot Guard referans kodu anahtar sızıntısında tespit edildi.
Ne yazık ki, bireysel kullanıcılar etkilenirlerse bunu düzeltemezler. Anakart üreticisi bir BIOS güncellemesi yayınlamadığı sürece, bu güvenlik açığına sahip bir cihazı düzeltemezsiniz.
“Benim çıkardığım sonuç ‘evet, [manufacturers] runZero’nun bir aygıt yazılımı güvenlik uzmanı ve CEO’su olan HD, “Bu sefer tembel anahtar yönetimi nedeniyle Güvenli Önyüklemeyi hala mahvediyorum,’ ancak bu benim dünyaya bakış açımda açıkça bir değişiklik değildi (Güvenli Önyükleme birçok durumda bir incir yaprağı güvenlik önlemidir),” diyor. “Hikaye şu ki, tüm UEFI tedarik zinciri tam bir karmaşa ve 2016’dan beri pek iyileşmedi.”