Javíthatatlan sebezhetőséget találtak a Xilinx Zynq UltraScale+ fejlesztésekben

A hardveres biztonsági rések utáni kutatás nem állt le, de ezúttal nem az egyes processzorok spekulatív végrehajtása okoz bajt, hanem a Xilinx Zynq UltraScale+ fejlesztéseken belül talált az F-Secure két olyan sebezhetőséget, amelyeket szoftveresen nem is lehet javítani. Ez azért elég nagy probléma, mert az említett sorozatba tartozó rendszerchipeket a gyártó autókba és repülőkbe, továbbá katonai és ipari felhasználásra is szánja.

Hirdetés

A Xilinx Zynq UltraScale+ megoldások olyan heterogén módon programozható, többféle processzormagot és FPGA-t, illetve esetlegesen fixfunkciós és rádiós logikát is rejtő lapkák, amelyek tipikusan egy adott problémakörre kínálnak relatíve célirányos megoldást, ezzel biztosítva egy feladathoz ideális platformot. A secure boot tekintetében azonban – az F-Secure szerint – két biztonsági réssel is rendelkeznek, amelyek közül az egyiket nem is lehet szoftveresen javítani, vagyis a Xilinx számára új hardverrevíziókat kell tervezni az érintett lapkákból.

A probléma egyébként az, hogy a Xilinx Zynq UltraScale+ megoldásoknak az "encrypt only" secure boot módja nem kódolja a bootoláshoz használt kép metaadatait. A támadó így módosíthatja rendszerindító headert még a boot procedúra elején, amivel tetszőleges kódfuttatás válik lehetségessé, megkerülve az "encrypt only" secure boot mód biztonsági intézkedéseit. Ugyanezt meg lehet csinálni a partíciós táblán belül is, de ez a probléma szoftveresen javítható. Ugyanakkor a Xilinx nem adott ki rá javítást, mert a boot ROM-ra vonatkozó sebezhetőség miatt úgyis be lehet jutni.

A támadás természetesen csak akkor lehetséges, ha az adott rendszerben található, Xilinx Zynq UltraScale+ sorozatú lapka az "encrypt only" secure boot módban működik, és emellett fizikailag is hozzá kell férni a hardverhez. Mindez némileg limitálja a lehetőségeket.

A Xilinx az F-Secure felfedezései után módosította a technikai előírásait, és az "encrypt only" secure boot mód helyett a "HWRoT" (Hardware Root of Trust) opciót javasolják, amelyet a fenti probléma nem érint, és kódolja is a boot, illetve partíciós headereket - eleve ez a biztonságosabb működési mód. Azoknál a rendszereknél, amelyeken valami miatt csak az "encrypt only" alkalmazása lehetséges, támadási lehetőséget figyelembe vevő, rendszerszintű védelmeket érdemes alkalmazni.

A Xilinx kiemeli, hogy az ügyfeleik által igényelt, "encrypt only" secure boot mód megjelenése óta a dokumentációikban felhívják a figyelmet a további rendszerszintű védelmek szükségességére.