Firmware 271 płyt głównych GIGABYTE ma backdoora, który stwarza zagrożenie dla bezpieczeństwa użytkowników

Choć luki w oprogramowaniu to coś, z czym w czasach Internetu mamy do czynienia praktycznie na co dzień, to czasami są one powiązane z określonym sprzętem komputerowym. W takich sytuacjach stanowią jeszcze większe zagrożenie. Według najnowszych doniesień, płyty główne GIGABYTE posiadają backdoora, który naraża użytkowników aż 271 modeli urządzeń. Obejmuje to zarówno sprzęt przeznaczony pod procesory Intela, jak i AMD.

Opublikowano ostrzeżenie, z którego wynika, że 271 modeli płyt głównych GIGABYTE jest narażonych na ataki hakerskie z powodu niewystarczających zabezpieczeń procesu aktualizacji ich firmware.

GIGABYTE przedstawia harmonogram rozwojowy dla układów serwerowych do 2025 roku. Będzie bardzo ciepło i prądożernie

Problemy nie ominęły także płyt głównych ze współczesnymi chipsetami, takimi jak na przykład Z790 i X670. Ich źródłem jest wbudowane oprogramowanie służące do aktualizacji firmware sprzętu, które uruchamia się podczas włączania lub restartowania komputera. Płyta główna za jego pośrednictwem łączy się z Internetem w celu znalezienia i pobrania aktualizacji firmware. Zajmujące się cyberbezpieczeństwem przedsiębiorstwo Eclypsium odkryło, że proces wiąże się z ryzykiem. Może on posłużyć do instalacji szkodliwego oprogramowania na komputerze ofiary.

GIGABYTE bije rekord prędkości pamięci RAM DDR5 - ekstremalny overclocking ciekłym azotem ponownie zdaje egzamin

Główny problem polega na tym, że pobieranie nowej wersji firmware odbywa się bez odpowiedniej weryfikacji kodu. Do całego procesu używane są następujące adresy internetowe:

• http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://software-nas/Swhttp/LiveUpdate4

Nie jest przy tym wykorzystywany ani podpis cyfrowy, ani jakakolwiek inna metoda walidacji plików. Połączenia z serwerami, z których firmware jest pobierane, są narażone na atak typu MITM (Machine-in-the-Middle). Dotyczy to nie tylko protokołu HTTP, który nie powinien być w ogóle wykorzystywany do tego celu, ale także błędnie zaimplementowanego HTTPS. Co więcej, odkryto, że aplikacja aktualizująca może pobierać pliki z serwera NAS znajdującego się w sieci lokalnej. Możliwe zatem staje się podszycie pod tego typu serwer i wprowadzenie w ten sposób do systemu szkodliwego oprogramowania.

S.T.A.L.K.E.R. 2: Heart of Chornobyl - twórcy gry padli ofiarą hakerów. Uwagę zwracają nietypowe żądania

Sytuacja jest tym bardziej niebezpieczna, że aplikacja aktualizująca działa na poziomie firmware. Niemożliwe jest jej łatwe usunięcie, więc trzeba czekać na poprawki przygotowywane przez firmę GIGABYTE. Tajwańskie przedsiębiorstwo już nad nimi pracuje. Eclypsium opublikowało pełną listę modeli, które luka obejmuje. Można znaleźć na niej zarówno starsze, jak i nowe konstrukcje. Do czasu wydania stosownych aktualizacji zaleca się dezaktywację opcji "APP Center Download & Install" w BIOS-ie płyty głównej. Wskazane może też być włączenie hasła na poziomie BIOS-u i zablokowanie witryn, z których płyta główna pobiera oprogramowanie. Co ciekawe, zbliżone rozwiązania oferują także inni producenci, więc nie jest wykluczone, że także ich produkty są narażone na tego typu ataki.