Supermicro y Pulse Secure han publicado avisos que advierten que algunas de sus placas base son vulnerables al módulo de infección de firmware UEFI del malware TrickBot, conocido como TrickBoot.
El año pasado, las firmas de ciberseguridad Advanced Intelligence y Eclypsium publicaron un informe conjunto sobre un nuevo módulo malicioso dirigido a firmware ‘TrickBoot’ entregado por el notorio malware TrickBot.
Cuando se ejecuta, el módulo analizará el firmware UEFI de un dispositivo para determinar si tiene la ‘protección contra escritura’ desactivada. Si es así, el malware contiene la funcionalidad para leer, escribir y borrar el firmware.
Esto podría permitir que el malware realice diversas actividades maliciosas, como bloquear un dispositivo, eludir los controles de seguridad del sistema operativo o reinfectar un sistema incluso después de una reinstalación completa.
Para verificar si un BIOS UEFI tiene habilitada la ‘protección contra escritura’, el módulo usa el controlador RwDrv.sys de la utilidad RWEverything .
«Todas las solicitudes al firmware UEFI almacenadas en el chip flash SPI pasan por el controlador SPI, que forma parte del Platform Controller Hub (PCH) en las plataformas Intel. Este controlador SPI incluye mecanismos de control de acceso, que se pueden bloquear durante el proceso de arranque para evitar modificaciones no autorizadas del firmware UEFI almacenado en el chip de memoria flash SPI.
Los sistemas modernos están destinados a habilitar estas protecciones de escritura del BIOS para evitar que se modifique el firmware; sin embargo, estas protecciones a menudo no están habilitadas o mal configuradas. Si el BIOS no está protegido contra escritura, los atacantes pueden modificar fácilmente el firmware o incluso eliminarlo por completo «, Eclypsium y Advanced Intel.
La capacidad del malware para analizar el firmware de un dispositivo está actualmente restringida a plataformas Intel específicas, incluidas Skylake, Kaby Lake, Coffee Lake, Comet Lake.
Avisos de lanzamiento de Supermicro, Pulse Secure
En un aviso publicado hoy, Supermicro advierte que algunas de sus placas base X10 UP son vulnerables al malware TrickBoot y han lanzado una actualización de BIOS «crítica» para habilitar la protección contra escritura.
«Supermicro es consciente del problema de Trickboot que se observa solo con un subconjunto de las placas base X10 UP . Supermicro proporcionará una mitigación para esta vulnerabilidad», advirtió Supermicro hoy en un aviso de seguridad .
Las placas base vulnerables de la serie X10 UP (» Denlow «) se enumeran a continuación.
- X10SLH-F (entrará en vigencia el 11/03/2021)
- X10SLL-F (EOL desde el 30/6/2015)
- X10SLM-F (EOL desde el 30/6/2015)
- X10SLL + -F (EOL desde el 30/6/2015)
- X10SLM + -F (EOL desde el 30/6/2015)
- X10SLM + -LN4F (EOL desde el 30/6/2015)
- X10SLA-F (EOL desde el 30/6/2015)
- X10SL7-F (EOL desde el 30/6/2015)
- X10SLL-S / -SF (EOL desde el 30/6/2015)
Supermicro ha lanzado versión 3.4 de BIOS para corregir la vulnerabilidad, pero solo la ha lanzado públicamente para la placa base X10SLH-F.
Para aquellas placas base que han llegado al final de su vida útil, los propietarios deben comunicarse con Supermicro para obtener acceso al nuevo BIOS.
Pulse Secure también emitió un aviso ya que sus dispositivos Pulse Secure Appliance 5000 (PSA-5000) y Pulse Secure Appliance 7000 (PSA-7000) se ejecutan en hardware vulnerable de Supermicro.
En este momento, Pulse Secure ha lanzado un parche de BIOS para dispositivos que ejecutan Pulse Connect Secure o Pulse Policy Secure. Los propietarios de Pulse One (solo dispositivos locales) tendrán que esperar un poco más para que se lance un parche.
Pulse Secure advierte que la aplicación del parche requerirá reiniciar el dispositivo.
Vía: www.bleepingcomputer.com
