Een reeks 'grote jongens' heeft beveiligingslekken vanwege de populariteit van UEFI

Volgens ITNews waarschuwde Quarkslab dat deze beveiligingslekken kunnen worden misbruikt door niet-geverifieerde externe aanvallers op hetzelfde lokale netwerk, en in sommige gevallen zelfs op afstand. De onderzoekers stelden dat de gevolgen van deze kwetsbaarheden onder andere DDoS, informatielekken, uitvoering van code op afstand, DNS-cachevergiftiging en netwerksessiekaping zijn.

Volgens het CERT Cybersecurity Coordination Center van de Carnegie Mellon University (VS) werd deze fout ontdekt tijdens het implementatieproces bij UEFI-leveranciers, waaronder American Megatrends, Insyde Software, Intel en Phoenix Technologies, terwijl Toshiba er niet door werd getroffen.

Insyde Software, AMI en Phoenix Technologies hebben alle drie aan Quarkslab bevestigd dat ze oplossingen bieden. Ondertussen wordt de bug nog steeds onderzocht door 18 andere leveranciers, waaronder grote namen zoals Google, HP, Microsoft, ARM, ASUSTek, Cisco, Dell, Lenovo en VAIO.

De bugs bevinden zich in de TCP/IP-stack van EDK II, NetworkPkg, die wordt gebruikt voor netwerkopstarten en vooral belangrijk is in datacenters en HPC-omgevingen voor het automatiseren van vroege opstartfases. De drie ernstigste bugs, allemaal met een CVSS-score van 8,3, houden verband met bufferoverflows in de DCHPv6-handle, waaronder CVE-2023-45230, CVE-2023-45234 en CVE-2023-45235. De overige bugs hebben CVSS-scores variërend van 5,3 tot 7,5.