UEFIのオープンソース実装に脆弱性、各PCベンダーにも影響

The Hacker Newsは1月18日(現地時間)、「PixieFail UEFI Flaws Expose Millions of Computers to RCE, DoS, and Data Theft」において、オペレーティングシステムとファームウェア間のインタフェースを定義するUEFI（Unified Extensible Firmware Interface）のオープンソース実装「Tianocore EFI Development Kit II(EDK II)」に複数の脆弱性が発見されたと報じた。脆弱性を特定したQuarkslabはこれらを総称して「PixieFail」と命名している。

PixieFailを悪用されると、リモートコード実行(RCE: Remote Code Execution)、サービス運用妨害(DoS: Denial of Service)、DNSキャッシュポイズニング、ネットワークセッションハイジャック、機密情報漏洩のリスクがある。

PixieFail UEFI Flaws Expose Millions of Computers to RCE, DoS, and Data Theft

UEFIのオープンソース実装の脆弱性の概要

発見された脆弱性はTianocore EDK IIに組み込まれた「NetworkPkg」と呼ばれる独自のTCP/IPネットワークプロトコルスタックに存在する。NetworkPkgはコンピュータをネットワークから起動するPXE(Preboot eXecution Environment)の段階で、ネットワーク機能を有効化する。このとき脆弱性を悪用される可能性があり、PXEブートを有効化していない場合は影響を受けない。

Tianocore EDK IIは多くのメーカーがUEFIの実装時にリファレンスコードとして使用するか、またはそのまま採用しているため、市販されているコンピュータにはこれら脆弱性が存在している可能性がある。

発見された脆弱性の情報は次のとおり。

CVE-2023-45229 - DHCPv6 Advertiseメッセージの処理における整数アンダーフローの不具合
CVE-2023-45230 - 長いサーバIDオプションによるDHCPv6クライアントのバッファオーバーフローの不具合
CVE-2023-45231 - 切り捨てられたオプションを含むNeighbor Discovery Redirectメッセージの処理に境界外読み込みの不具合
CVE-2023-45232 - Destination Optionsヘッダの未知のオプション解析に無限ループの不具合
CVE-2023-45233 - Destination OptionsヘッダのPadNオプションの解析に無限ループの不具合
CVE-2023-45234 - DHCPv6 AdvertiseメッセージのDNS Serversオプションの処理にバッファオーバーフローの不具合
CVE-2023-45235 - DHCPv6 proxy AdvertiseメッセージのサーバIDオプションの処理にバッファオーバーフローの不具合
CVE-2023-45236 - TCPの初期シーケンス番号を予測可能な不具合
CVE-2023-45237 - 弱い疑似乱数ジェネレータの使用

PixieFailに関する詳細な情報は脆弱性を特定したQuarkslabのブログ「PixieFail: Nine vulnerabilities in Tianocore's EDK II IPv6 network stack.」にて公開されている。また、影響を受けるベンダの包括的な一覧と緩和策のガイダンスはCERT Coordination Center (CERT/CC)の「VU#132380 - Vulnerabilities in EDK2 NetworkPkg IP stack implementation.」から閲覧することができる。