The Hacker Newsは1月18日(現地時間)、「PixieFail UEFI Flaws Expose Millions of Computers to RCE, DoS, and Data Theft」において、オペレーティングシステムとファームウェア間のインタフェースを定義するUEFI(Unified Extensible Firmware Interface)のオープンソース実装「Tianocore EFI Development Kit II(EDK II)」に複数の脆弱性が発見されたと報じた。脆弱性を特定したQuarkslabはこれらを総称して「PixieFail」と命名している。

PixieFailを悪用されると、リモートコード実行(RCE: Remote Code Execution)、サービス運用妨害(DoS: Denial of Service)、DNSキャッシュポイズニング、ネットワークセッションハイジャック、機密情報漏洩のリスクがある。

  • PixieFail UEFI Flaws Expose Millions of Computers to RCE、DoS、and Data Theft

    PixieFail UEFI Flaws Expose Millions of Computers to RCE, DoS, and Data Theft

UEFIのオープンソース実装の脆弱性の概要

発見された脆弱性はTianocore EDK IIに組み込まれた「NetworkPkg」と呼ばれる独自のTCP/IPネットワークプロトコルスタックに存在する。NetworkPkgはコンピュータをネットワークから起動するPXE(Preboot eXecution Environment)の段階で、ネットワーク機能を有効化する。このとき脆弱性を悪用される可能性があり、PXEブートを有効化していない場合は影響を受けない。

Tianocore EDK IIは多くのメーカーがUEFIの実装時にリファレンスコードとして使用するか、またはそのまま採用しているため、市販されているコンピュータにはこれら脆弱性が存在している可能性がある。

発見された脆弱性の情報は次のとおり。

  • CVE-2023-45229 - DHCPv6 Advertiseメッセージの処理における整数アンダーフローの不具合
  • CVE-2023-45230 - 長いサーバIDオプションによるDHCPv6クライアントのバッファオーバーフローの不具合
  • CVE-2023-45231 - 切り捨てられたオプションを含むNeighbor Discovery Redirectメッセージの処理に境界外読み込みの不具合
  • CVE-2023-45232 - Destination Optionsヘッダの未知のオプション解析に無限ループの不具合
  • CVE-2023-45233 - Destination OptionsヘッダのPadNオプションの解析に無限ループの不具合
  • CVE-2023-45234 - DHCPv6 AdvertiseメッセージのDNS Serversオプションの処理にバッファオーバーフローの不具合
  • CVE-2023-45235 - DHCPv6 proxy AdvertiseメッセージのサーバIDオプションの処理にバッファオーバーフローの不具合
  • CVE-2023-45236 - TCPの初期シーケンス番号を予測可能な不具合
  • CVE-2023-45237 - 弱い疑似乱数ジェネレータの使用

PixieFailに関する詳細な情報は脆弱性を特定したQuarkslabのブログ「PixieFail: Nine vulnerabilities in Tianocore's EDK II IPv6 network stack.」にて公開されている。また、影響を受けるベンダの包括的な一覧と緩和策のガイダンスはCERT Coordination Center (CERT/CC)の「VU#132380 - Vulnerabilities in EDK2 NetworkPkg IP stack implementation.」から閲覧することができる。

PixieFailの影響を受けるベンダーの状況

PixieFailの影響を受けるベンダーは次のとおり。

  • American Megatrends Incorporated(AMI)
  • Insyde Software Corporation
  • Intel
  • Phoenix Technologies

PixieFailの影響を受けないベンダーは次のとおり。

  • 東芝

本稿執筆時点で、影響の有無が不明とされるベンダーは次のとおり。

  • Microsoft
  • Acer
  • Amazon
  • ARM Limited
  • ASUSTeK Computer Inc.
  • Cisco
  • Dell
  • Fujitsu (Europe)
  • Gamma Tech Computer Corp.
  • GETAC Inc.
  • Google
  • Hewlett Packard Enterprise
  • HP Inc.
  • Lenovo
  • ReactOS
  • Star Labs Online Limited
  • VAIO Corporation

PixieFailへの対策

PixieFailの影響を回避するには、コンピュータを販売するベンダーから公開されている情報を確認し、影響を受ける場合はベンダーから指定されている手順に従いUEFIファームウェアをアップデートすることが推奨されている。

アップデートを実施できない、または影響の有無がわからない場合は、緩和策としてPXEブートを無効にするか、または不正アクセスから保護されたネットワーク環境に移動することが望まれている。