留意！这12个影响宽泛的固件破绽和要挟

当初，一切干流的操作系统和软件程序都会智能接纳安保更新，以协助用户包全他们的系统免受每月发现的少量破绽的攻打。但关于影响咱们日常生存的数十亿嵌入式设备来说，状况却并非如此。

从关键基础设备和医院中所用的设备到咱们家中经常使用的设备，其中许多都依赖于称为“固件”的低级软件来运转。所谓“固件”是间接与配件组件交互和控制的代码，它通常存储于附加在电路板上的不凡只读存储器芯片中。和其余方式的软件一样，固件雷同存在安保疑问。

更新固件的环节通常被称为“刷机”（flashing），其复杂性差异很大，通常须要手动步骤和对设备的物理访问，有些设备甚至不可被最终用户更新。这使得修补固件破绽成为一个漫长而复杂的环节，这就是固件破绽往往会在设备中坚持多年（通常是永远）未修补的要素所在。

以下是近年来发现的一些关键固件破绽，这些破绽影响了少量设备和行业，须要更新固件启动修复。

1.BlueBorne

2017年，国外安保厂商Armis发布了8个蓝牙破绽，准许攻打者忽视蓝牙版本齐全控制设备和数据。Armis将这组破绽合为名叫“BlueBorne”的攻打媒介，危及支持蓝牙性能的移动、桌面和物联网操作系统，包括Linux、Android、Windows和macOS等设备。

仰仗这些破绽，黑客能够经过无线方式应用蓝牙协定攻打和控制设备、访问数据和网络，甚至浸透到某些安保的物理隔离网络，并在设备间流传恶意软件。时期，攻打者无需与指标设备启动配对。

据预计，这些破绽影响了超越50亿台设备。在电脑上，经过操作系统更新更容易修复，而支持蓝牙的智能手表、电视、医疗设备、汽车信息文娱系统、可穿戴设备和其余物联网设备则须要固件更新。

KRACK，即密钥重装攻打（Key Reinstallation Attack），是由Wi-Fi安保钻研员、鲁汶大学传授Mathy Vanhoef于2016年设计的一种攻打。它应用了过后用于包全大少数无线网络的WPA2无线安保规范的一个弱点。

在密钥重装攻打当中，攻打者会诱导受益者从新装置曾经被经常使用过的密钥。详细成功方法是操纵偏重播明码握手信息。当受益者从新装置密钥时，增量发送分组号（即随机数）以及接纳分组号（即重播计数器）等关系参数将被重置为初始值。从实质过去讲，为了保障安保性，每条密钥只能装置并经常使用一次性。遗憾的是，WPA2协定中并不蕴含这一强迫要求。经过操纵加密握手环节，攻打者将能够在通常当中应用这分歧命毛病。

详细来说，攻打者能够应用这种攻打方法读取此前被以为是安保加密的信息，进而窃取各类敏感信息，详细包括信誉卡号码、明码、聊天信息、电子邮件以及图片等等。

由于该规范自身存在毛病，WPA2在一切类型设备（包括家庭路由器和其余物联网设备）中的成功都遭到了影响。修复该破绽须要固件更新，因此许多不受支持的设备直到当天依然容易遭到攻打。

3.FragAttacks

2021年，安保钻研人员Mathy Vanhoef发现的一系列安保破绽，合称为“碎片聚合攻打”（FragAttacks），这些破绽影响了许多设备（包括电脑、智能手机和智能设备）上的Wi-Fi成功，且最早可以追溯到1997年。这象征着，自1997年以来的一切Wi-Fi设备无一幸免。

新发现的破绽中，有三个是影响大局部设备的帧聚合和帧碎片性能Wi-Fi 802.11规范设计毛病，其余的则是Wi-Fi产品的编程失误。这些破绽影响一切Wi-Fi安保协定，包括WPA3身份验证，它们准许攻打者在易受攻打的Wi-Fi网络范畴内窃取用户信息并攻打和控制设备。

4.SSID混杂

2024年5月，Mathy Vanhoef和一位鲁汶大学的共事发现了另一种名为“SSID混杂”的攻打。该攻打应用Wi-Fi规范的一个弱点，诱骗用户设备衔接到合法接入点，影响了一切操作系统上的一切Wi-Fi客户端。

据了解，该设计毛病的根因在于IEEE 802.11规范并不总是要求网络的SSID启动衔接认证。SSID识别惟一的无线访问点和网络，因此与邻近区域的其它网络有所不同。疑问在于，IEEE 802.11规范并不强迫要求SSID蕴含在密钥衍生流程中。换句话说，SSID并不总是客户端设备衔接到SSID时认证流程的一局部。在这些成功中，攻打者无时机设置恶意访问点、嗅探可信网络的SSID，并应用它将受益者升级到可信度更低的网络中，从而或许造成数据阻拦和其余安保破绽。

BadUSB最早是在2014年的黑帽大会上钻研人员JakobLell和Karsten Nohl提出并展现的。不同于老式的U盘病毒，它应用了USB协定中的一个破绽，用户只有拔出BadUSB，就会智能口头预置在固件中的恶意代码。

BadUsb拔出后，会模拟键盘鼠标对电脑启动操作，经过这些操作关上电脑的命令终端，并口头一条命令，这条命令将从指定网址下载其余代码并于后盾静默运转。这些代码性能包括：窃取信息、反弹shell、发送邮件等，从而成功控制指标机或许窃取信息的目的。

恶意代码存在于U盘的固件中，PC上的杀毒软件不可访问到U盘寄存固件的区域，因此也就象征着杀毒软件和U盘格局化都不可进攻BadUSB的攻打。

6.Thunderstrike和Thunderstrike 2

2年终，编程专家Trammell Hudson在德国汉堡举行的“年度混沌计算机大会”上展现这种名为“Thunderstrike（雷击）”的攻打方式。它实践上应用了一个在ThunderboltOption ROM中有些历史的破绽，该破绽在2012年终次被发现但仍未修补。

一旦装置Thunderstrike恶意软件，它会交流Mac下的疏导固件程序，以高优先级的指令取得系统控制权限。这款恶意软件（bootkit）可以绕过固件程序明码验证及硬盘明码验证，在操作系统启动时就预装上后门。该恶意软件装置，将独立于操作系统和硬盘驱动，因此格局化硬盘和重装操作系统也拿它没方法。

几个月后，LegbaCorp安保钻研团队又制作出了Thunderstrike 2，它可以在固件层面对受感化的Mac启动攻打，也就是说一旦设备被感化将很难移除，即使重装OS X，或许更新，甚至是重装硬盘都不可处置。此外，Thunderstrike 2还能够经过Thunderbolt设备启动流传，从而发生蠕虫的或许性。

7.Thunderclap

2019年，剑桥大学、计算机迷信技术部、莱斯大学、SRI国内的钻研人员发现，配有Thunderbolt接口并运转Windows、macOS、Linux或FreeBSD的现代计算机易受少量间接内存访问（DMA） 攻打。这些破绽被统称为“Thunderclap”，可被应用以系统上或许的最高权限级别运转恣意代码，或许访问或窃取明码、银行登录凭据、加密密钥、公家文件、阅读其余敏感数据。

这些Thunderclap破绽使得攻打者能够领有对机器内存的间接且不受限的访问权限，由于这些端口具备底层且权限特意高的间接内存访问权限（DMA），从而为恣意恶异常围设备提供多于惯例USB设备的权限。

2017年10月中旬，来自捷克共和国Masaryk大学、英国网络安保治理公司Enigma Bridge和意大利Ca' Foscari大学的安保钻研员发现RSA加密部署中存在一个安保破绽，他们将该破绽称为Return of Coppersmith's Attack（简称ROCA）。经发现，在德国半导体制作商英飞凌科技公司（Infineon Technologies AG）消费的各类宽泛的明码芯片所经常使用的明码库中，RSA密钥对生成环节存在该破绽。

应用该破绽，攻打者可以启动实践的因数合成攻打，计算RSA密钥的私钥局部。关于罕用的密钥长度（包括1024和2048位），该攻打是可成功的，并且会影响2012年之前消费的芯片，这种芯片十分经常出现。钻研人员预计，复原这些设备生成的单个2048位RSA密钥的老本约为2万美元，1024位RSA密钥的老本约为40美元。

9.Intel治理引擎（ME）毛病

Intel 治理引擎（ME）是许多Intel CPU中存在的公用协处置器和子系统，用于带外治理义务。Intel ME运转自己的轻量级操作系统，齐全独立于用户装置的操作系统，这就是它经常被安保社区形容为“后门”的要素所在。多年来，在Intel ME中发现了很多严重的破绽，修复它们须要装置计算机制作商的固件更新。因此，不受支持的系统不太或许收到这样的更新。

2022年从Conti敲诈软件团伙暴露的日志显示，该网络立功组织正在钻研如何应用Intel ME破绽，在CPU的高度特权口头环境“系统治理形式”（System Management Mode）中取得代码口头权限，目的是将恶意代码部署到计算机固件深处，以回避安保产品的检测。暴露的外部聊天记载标明，该团伙曾经为此类攻翻开发了概念验证代码（PoC）。

10.iLOBleed和其余BMC毛病

许多主机主板都有基板治理控制器（BMC），它准许在主操作系统封锁时对机器启动带外治理。BMC是专门的微控制器，有自己的固件和操作系统、公用内存、电源和网络端口。它们地下了一个规范化的接口和协定，即智能平台治理接口（IPMI）。治理员可以经过它远程口头保养义务，例如从新装置操作系统、从新启动无照应的主机和部署固件更新等。多年来，在多个主机供应商的BMC固件和IPMI成功中曾经发现了许多严重的破绽。

2024年4月，思科修补了其集成治理控制器（IMC）中的两个特权更新破绽，该控制器用于对其许多主机产品和设备启动带外治理。这些破绽曾经地下提供了概念验证破绽应用代码，并或许准许经过身份验证的攻打者在底层操作系统上以root身份口头命令。

2023年7月，固件安保公司Eclypsium的钻研人员发现并披露了MegaRAC的两个破绽。MegaRAC是环球上最大的BIOS/UEFI和BMC固件供应商美国大趋向公司（AMI）开发的一种BMC固件。常年以来，在其局部产品中经常使用AMI MegaRAC的主机制作商包括AMD、安培计算、ASRock、华硕、ARM、戴尔EMC、技嘉、惠普企业、华为、浪潮、联想、英伟达、高通、广达和泰安。早在2022年12月，Eclypsium就曾经披露了AMI MegaRAC的另外五个毛病。

2022年1月，一种名为iLOBleed的恶意软件植入物被发现感化了惠普企业的第8代和第9代主机，它应用了惠普集成的Lights-Out （iLO）BMC技术中的已知破绽。

2018年，钻研人员发现了来自X9、X10和X11平台的超微主机BMC成功中的破绽。过后，有来自90多个国度的4.7万台超微主机及其BMC接口暴露在互联网上。

虽然BMC破绽或许是特定于供应商的，但它们也或许影响多个供应商，AMI MegaRAC破绽就是这种状况。虽然这些接口不应该间接暴露给互联网，然而地下暴露BMC的主机数量已达数万甚至数十万。

11.LogoFAIL和其余BIOS/UEFI破绽

一致可扩展固件接口（UEFI）是计算机系统中固件的规范化规范——相当于旧的BIOS——包括担任在加载装置在硬盘驱动器上的操作系统之前初始化计算机配件的低级代码。

攻打者常年以来不时在开发感化计算机BIOS或UEFI的恶意软件植入物，为他们提供低级耐久性和隐身性，并且即使从新装置操作系统或改换硬盘驱动器也能从新感化计算机。因此，现代UEFI大多带有加密代码验证性能，如安保启动（Secure Boot）和英特尔启动包全（Intel Boot Guard），但安保破绽依然存在，准许攻打者绕过这些机制。

2024年7月，钻研人员从美国大趋向国内公司（AMI）处发现了一个暴露的安保启动私有平台密钥，该密钥被7家制作商用于数百台笔记本电脑、台式机和主机主板型号。

大少数PC厂商在他们的主板上经常使用reference UEFI成功，这些成功来自三家专业软件公司，即独立的BIOS供应商（IBV）——American megtrends International（AMI）、Insyde software和Phoenix Technologies——而后他们依据自己的须要启动性能和定制。因此，UEFI破绽可以影响特定的PC制作商或特定的产品线，或许它们可以影响IBV的一切UEFI代码，因此可以同时影响多个制作商，或许可以影响一切IBV。

最近一个影响宽泛的UEFI攻打的例子是LogoFAIL，它准许攻打者经过准许PC制作商在启动环节中在BIOS启动屏幕上显示自定义图形的性能，轻松地将恶意代码注入UEFI。这种攻打是由Insyde、AMI和Phoenix固件经常使用的图像解析器中的内存损坏缓和冲区溢出破绽造成的。

2024年披露的另一种跨IBV和跨厂商UEFI攻打是PixieFail。这种攻打应用了宽泛经常使用的预启动口头环境（PXE）成功中的破绽，PXE是UEFI的一种性能，准许经过网络从映像启动系统，也称为网络启动或netboot。理想证实，Arm、Insyde、AMI、Phoenix和微软都经常使用了来自开源reference UEFI成功的PXE网络堆栈，称为TianoCore EDK II，钻研人员在代码中发现了拒绝服务、信息暴露、远程代码口头、DNS缓存中毒和网络会话劫持的破绽。

2022年，Binarly的钻研人员发现了12个破绽，这些破绽或许造成英特尔、惠普和独立固件供应商AMI在UEFI成功中口头预启动远程代码。在此之前，他们还发现了42个与来自多个制作商的固件的SMM（系统治理形式）和DXE（驱动程序口头环境）关系的高影响破绽。

可以必需地说，UEFI破绽并不不足，即使其中一些破绽或许特定于一个供应商或IBV，疑问是PC制作商不会为过时的主板发布UEFI更新。此外，用户没有手动装置UEFI更新的习气，这些更新不会经过Windows Update等机制智能口头。

有时，PC制作商在其UEFI固件中减少的定制性能不安保，还或许成为后门。UEFI笔记本电脑跟踪和防盗技术“Computrace LoJack”就是一个例子，该技术被与俄罗斯军事件报机构GRU无关联的网络特务组织APT28滥用。

2023年5月，安保钻研人员发现，数百GB主板型号的UEFI在启动环节中向Windows注入了一个可口头程序。这个可口头文件与一个名为APP Center Download & Install的性能捆绑在一同，或许会被诈骗来下载和口头恶意软件。换句话说，就像Computrace LoJack一样，它可以被改形成一个高度耐久的恶意软件植入物，即使在从新装置操作系统后也会从新发生。

12.Project Memoria和嵌入式TCP/IP栈毛病

当初，许多消费类物联网设备，如路由器、调制解调器、网络附加存储（NAS）盒和网络视频录像机（NVR）都经常使用基于Linux内核的固件。然而工业和医疗嵌入式设备的固件依然依赖于专有的实时操作系统（RTOSes），比如VxWorks。

虽然这象征着工业物联网环球中的固件愈加多样化，但依然有一些组件可以由不同的RTOSes共享，包括TCP/IP堆栈。这些复杂的代码库成功了Internet的一些外围协定——DNS、HTTP、FTP、ARP、ICMP等——并且是在几十年前作为专有库编写的，而后发售给嵌入式操作系统供应商。

2020年，安保公司Forescout的钻研人员与大学和其余公司协作，启动了一个名为“Project Memoria”的名目，旨在剖析工业设备中经常使用的专有TCP/IP堆栈。该名目的钻研继续了18个月，合计发现了104个破绽，其中许多是关键破绽，这些破绽存在于来自500多家供应商的25万多款嵌入式设备模型中。

TCP/IP破绽十分严重，由于它们位于解析网络数据包的代码中，所以通常可以被未经身份验证的攻打者在网络上滥用。由于代码库十分新鲜，它们影响的设备的数量和类型或许十分宽泛。许多受影响的设备已到达经常使用寿命，不可再接纳固件更新来修复这些毛病。

Forescout并不是惟一关注TCP/IP协定栈的公司。2019年，安保公司Armis在VxWorks的TCP/IP堆栈中也发现了11个严重破绽。VxWorks是一个嵌入式操作系统，宽泛运行于许多行业的20多亿台设备中。

原文题目： 12 wide-impact firmware vulnerabilities and threats ，作者：Lucian Constantin