[Uppdatering: Mfg. Uttalande] Populära SoC-styrelser har en olämplig säkerhetsfel, vilket innebär att många fordons-, industri- och militära komponenter är i fara
Forskare som genomför en rutinmässig säkerhetsrevision upptäckte nyligen två allvarliga säkerhetsfel inom ett populärt märke av System on a Chip (SoC) -tavlor. Säkerhetsproblemet undergräver säker startfunktion. Det som är mest oroande är det faktum att SoC distribueras i flera viktiga komponenter som går in i vanliga industrisegment som bil, flyg, konsumentelektronik och till och med industriell och militär utrustning. Om framgångsrikt komprometteratkan SoC-styrelsen lätt fungera som en plattform för att starta sofistikerade och ihållande angrepp på några av de mest kritiska infrastrukturerna.
Säkerhetsforskare med Inverse Path, som är F-Secures hårdvarusäkerhetsteam, upptäckte två säkerhetsfel inom ett populärt SoC-märke som undergräver deras säkra startmöjligheter. Även om man kan ta itu med dem, är båda sårbarheterna för närvarande inte lagrade. SoC-kortet är allmänt föredraget för sin mångsidighet och robusta hårdvara, men sårbarheterna kan utgöra några allvarliga säkerhetshot. Enligt forskargruppen finns bristerna i ”Encrypt Only” säkert startläge för SoC.
'Inverse Path' upptäcker två säkerhetsfel i SoC-startläge:
Säkerhetsforskare upptäckte de två säkerhetsfel i ett populärt märke av SoC-kort tillverkade av Xilinx. Den sårbara komponenten är Xilinx Zynq UltraScale + -märke, som inkluderar System-on-Chip (SoC), multi-processor system-on-chip (MPSoC) och radiofrekvenssystem-on-chip (RFSoC) -produkter. Dessa kort och komponenter används vanligtvis inom fordons-, flyg-, konsumentelektronik-, industri- och militärkomponenter.
De säkerhetsproblem enligt uppgift underminera de säkra startfunktionerna för SoC-kortet. Forskare tillade att av de två säkerhetsbristerna kan en inte uppdateras av en programuppdatering. Med andra ord, endast "en ny kiselrevision" från leverantören ska kunna eliminera sårbarheten. Detta innebär att alla SoC-kort från Xilinx Zynq UltraScale + -varumärke kommer att fortsätta att vara sårbara om de inte byts ut med nya versioner.
Forskare har publicerat en teknisk rapport om GitHub, som beskriver säkerhetsproblemen. Rapporten nämner Xilinx Zynq UltraScale + Encrypt Only säkert startläge krypterar inte metadata för startbild. Detta gör att denna information är sårbar för skadliga modifieringar, konstaterade F-Secures Adam Pilkey. ”Angripare [kan] kunna [manipulera med starthuvudet i de tidiga stadierna av startproceduren, [och] kan ändra dess innehåll för att utföra godtycklig kod och därmed kringgå de säkerhetsåtgärder som erbjuds av läget" kryptera endast ","
Av de två säkerhetsfel var den första i starthuvudtolkningen som utfördes av start-ROM. Den andra sårbarheten var att analysera partitionstitelbord. Förresten, den andra sårbarheten kan också göra det möjligt för skadliga angripare att injicera godtycklig kod, men den var patchbar. Vad som gäller för att notera att ingen av korrigeringsfilerna, om den någonsin släpptes för att hantera den andra sårbarheten, skulle vara överflödig. Detta beror på att angripare alltid kan kringgå alla korrigeringsfiler som företaget skulle släppa genom att utnyttja den första buggen. Xilinx har därför inte släppt någon programvarukorrigering för det andra felet.
Attack Scope Limited men Potential Damage High, påstår forskare:
Zynq UltraScale + SoC: er som är konfigurerade för att starta i "endast kryptera" säkert startläge påverkas av detta problem. Med andra ord, bara dessa SoC-kort påverkas och ännu viktigare, dessa måste manipuleras för att starta i ett visst läge, för att vara sårbara. Vid normal drift är dessa kort säkra. Icke desto mindre används säkert startläge ofta av utrustningsleverantörer. Programvaruleverantörer och utvecklare förlitar sig på detta läge för att "tillämpa autentisering och konfidentialitet för firmware och andra programvarutillgångar som laddas inuti enheter som använder Zynq UltraScale + SoC som sin interna datorkomponent."
Den mest begränsande aspekten av sårbarheten är att angripare måste ha fysisk tillgång till SoC-korten. Dessa angripare måste utföra en DPA-attack (Differential Power Analysis) på SoC-kortens uppstartssekvens för att infoga skadlig kod. Med tanke på de föredragna distributionsscenarierna för Zynq UltraScale + SoC-kort är en fysisk attack det enda alternativet till angripare. För övrigt är de flesta av dessa kort vanligtvis distribuerade i utrustning som inte är ansluten till ett externt nätverk. Därför är en fjärranfall inte möjlig.
Xilinx uppdaterar teknisk handbok för att informera användare om förebyggande och skyddstekniker:
Intressant finns det ett annat säkert startläge som inte innehåller säkerhetsproblem. Efter F-Secures resultat gav Xilinx ut en säkerhetsrådgivning som råder utrustningsleverantörer att använda hårdvaruroten (HWRoT) säkert startläge istället för den svagare Encryption Only. "HWRoT-startläget autentiserar start- och partitionsrubrikerna", noterade Xilinx.
För de system som är begränsade till att använda det sårbara startläget Encrypt Only, varnas användarna för att fortsätta övervaka DPA, obehöriga start- och partitionshuvudattackvektorer. För övrigt finns det en hel del skyddstekniker på systemnivå som kan begränsa exponeringen av SoC-korten för externa eller skadliga myndigheter som kan finnas på plats.
[Uppdatering]: Xilinx har nått ut och bekräftat att det fel som inte kan korrigeras främst beror på att kunderna krävde att Encrypt Only-läget skulle göras tillgängligt i varumärket Zynq UltraScale + SoC. Med andra ord noterade företaget designfunktionen som de implementerade efter kundernas efterfrågan, skulle utsätta SoC för säkerhetsrisk. Xilinx tillade att de alltid har varnat kunderna "de behöver implementera ytterligare säkerhetsfunktioner på systemnivå för att förhindra problem."
