Cyberthreat.id – Peneliti Binarly Inc menemukan 23 kerentanan berdampak tinggi yang mempengaruhi perangkat lunak Pengembang Bios Independen (IBV).

Kerentanan ini tidak hanya berdampak pada satu vendor, tetapi semua vendor yang mengadopsi kode IBV ke dalam perangkat lunak firmware Unified Extensible Firmware Interface (UEFI).

Binarly menegaskan bahwa semua kerentanan ini ditemukan di beberapa ekosistem vendor perusahaan utama. Daftar vendor yang terkena dampak terdiri atas Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel dan Bull Atos.‎

Awalnya perusahaan keamanan yang fokus pada firmware tersebut menemukan anomali berulang pada 20 PC yang menggunakan perangkat lunak buatan Binarly.

Salah satu yang diamati tersebut ialah seri laptop Fujitsu, lalu bergerak ke produk lain dan ditemukan juga pada HP dan Lenovo serta lainnya.

‎”Akar penyebab masalah ditemukan dalam kode referensi yang terkait dengan kode kerangka firmware InsydeH2O,” kata Binarly dalam unggahan di blog perusahaan, diakses Kamis (3 Februari 2022).

Semua vendor yang disebutkan di atas menggunakan SDK firmware berbasis Insyde untuk mengembangkan firmware mereka.

Karena dampak yang luas, peneliti akhirnya melaporkan ke ‎‎CERT Coordination Center (CERT/CC)‎ untuk memimpin pengungkapan di seluruh industri teknologi pada September 2021.‎ CERT/CC ialah pusat koordinasi tim tanggap darurat komputer untuk Software Engineering Institute (SEI). Lembaga nonprofit ini mendapat sokongan dana dari pemerintah AS yang bertugas meneliti bug peranti lunak dan keamanan internet serta menerbitkan temuan dan nasihat keamanan untuk bisnis dan pemerintah.

“Salah satu tantangan awal dari proses ini iala mengidentifikasi semua pihak yang terkena dampak dan membuat mereka siap untuk menerima perbaikan,” ujar Binarly.

Dampak kerentanan

‎Sebagian besar kerentanan bisa menyebabkan eksekusi kode dengan hak istimewa System Management Mode (SMM).

Sebagai bagian dari rantai eksploitasi, kerentanan ini dapat digunakan sebagai tahap kedua untuk memotong fitur keamanan atau mendapatkan pertahanan diri dalam jangka panjang.

“Dengan memanfaatkan kerentanan ini, penyerang dapat berhasil menginstal malware yang bertahan dari instalasi ulang sistem operasi dan memungkinkan ‎‎bypass‎‎ solusi keamanan endpoint (EDR / AV), Secure Boot dan isolasi Keamanan Berbasis Virtualisasi,” tulis Binarly.

‎Menurut Binarly, eksploitasi aktif dari semua kerentanan yang ditemukan “tidak dapat dideteksi oleh sistem pemantauan integritas firmware” karena keterbatasan pengukuran Trusted Platform Module (TPM).

Bahkan, solusi firmware integrity monitoring systems tidak akan mendeteksi sistem yang terpengaruh karena keterbatasan desain dalam visibilitas firmware runtime.‎

‎Sementara, kerentanan pasca-eksploitasi‎‎ biasanya digunakan sebagai tahap kedua untuk mengirimkan muatan berbahaya. Ini adalah jenis utama kerentanan yang dimanfaatkan penyerang untuk memasang implan persisten dan tidak persisten setelah mereka berhasil mengeksploitasi tahap serangan sebelumnya.

“Implan firmware adalah tahap akhir dari instalasi implan persisten, ujar Binarly.

Selain itu, penyerang dapat menginstal implan pada berbagai tingkat firmware, baik sebagai modul sah yang dimodifikasi atau driver mandiri.

‎Implan persisten‎‎ adalah malware yang dapat bertahan dari PC yang sedang di-reboot dan di-shutdown. Dalam beberapa kasus, implan ini dapat memodifikasi gambar pembaruan firmware sebelum diinstal, untuk bertahan dari proses pasca-pembaruan.‎

‎Sementara, implan non-persisten‎‎ adalah implan yang tidak bertahan dalam siklus reboot dan shutdown penuh. Implan ini mungkin memberikan eskalasi hak istimewa dan eksekusi kode di dalam sistem operasi dengan virtualisasi perangkat keras yang dilindungi (seperti Intel VT-x) dan lapisan eksekusi tepercaya (seperti Microsoft VBS). Implan ini juga dapat digunakan sebagai saluran rahasia untuk mengirimkan muatan berbahaya ke mode kernel dari sistem operasi.‎

“‎Dengan mengeksploitasi eskalasi hak istimewa SMM atau kerentanan eksekusi kode, penyerang mungkin dapat memecahkan komputasi rahasia di lingkungan cloud,” ujar Binarly.

Mirip Log4J

CEO Viakoo Bud Broomhead mengatakan, masalah ini mirip dengan kerentanan open source baru-baru ini seperti Log4j, PwnKit, dan lainnya karena skala dampaknya yang luas.

“Ini kembali ke pengguna akhir seberapa cepat patch dipasang,” kata Broomhead. Sebab, kerentanan ini menyediakan jalur langsung bagi pelaku ancaman untuk menyebarkan malware di dalam lapisan sistem operasi atau bahkan merusak perangkat, ia menambahkan.

Sementara Mike Parkin, insinyur di Vulcan Cyber, mengatakan kerentanan apa pun yang memungkinkan penyerang memanipulasi atau mengubah sistem BIOS dapat berpotensi merusak.

"Untungnya, serangan yang dijelaskan di sini memerlukan akses istimewa untuk dieksekusi. Ini tidak biasa dalam serangan BIOS karena mereka memerlukan beberapa tingkat hak istimewa atau akses fisik untuk mengimplementasikannya. Tapi, ini bukan berarti kita bisa mengabaikannya," kata Parkin.

"Masalah yang terjadi ialah pembaruan sistem BIOS seringkali memakan waktu daripada tambalan sistem sederhana," ia menambahkan, dikutip dari ZDNet.[]

Berikut ini sejumlah kerentanan yang telah dilacak:

CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021 -41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, danCVE-2022-24069.