کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی شش آسیبپذیری در بوتلودر متنباز U-Boot خبر دادند؛ نقصهایی که میتوانند به مهاجمان اجازه دهند پیش از راهاندازی سیستمعامل، کد مخرب اجرا کرده و کنترل کامل دستگاه را در اختیار بگیرند.
به گزارش کمیته رکن چهارم، به نقل از The Hacker News، شرکت Binarly اعلام کرد این آسیبپذیریها در مکانیزم اعتبارسنجی امضای FIT (Flattened Image Tree) شناسایی شدهاند و دو مورد از آنها امکان اجرای کد دلخواه و چهار مورد دیگر امکان از کار انداختن دستگاه را فراهم میکنند. از آنجا که U-Boot مسئول بارگذاری سیستمعامل در طیف گستردهای از تجهیزات از جمله سرورها، تجهیزات شبکه، سامانههای صنعتی و دستگاههای اینترنت اشیا (IoT) است، بهرهبرداری از این نقصها میتواند مهاجمان را قادر سازد پیش از اجرای سیستمعامل، مکانیزمهای امنیتی را دور زده و بدافزارهای پایدار در سطح میانافزار نصب کنند.
بررسیهای Binarly نشان میدهد کد آسیبپذیر از نسخه ۲۰۱۳.۰۷ در U-Boot وجود داشته و احتمالاً بیش از ۵۰ نسخه پایدار این پروژه و همچنین نسخههای سفارشی تولیدکنندگان سختافزار را تحت تأثیر قرار میدهد. پژوهشگران هشدار دادهاند که در برخی سناریوها، بهویژه در سامانههایی مانند BMC که امکان بهروزرسانی میانافزار از راه دور دارند، مهاجمان حتی بدون دسترسی فیزیکی نیز قادر به سوءاستفاده از این آسیبپذیریها خواهند بود.
توسعهدهندگان U-Boot اصلاحیه هر شش آسیبپذیری را در شاخه اصلی پروژه منتشر کردهاند، اما کاربران باید منتظر بهروزرسانی میانافزار از سوی سازندگان دستگاههای خود باشند. کارشناسان هشدار میدهند بسیاری از تجهیزات قدیمی که دیگر بهروزرسانی دریافت نمیکنند، ممکن است برای همیشه در برابر این نقصها آسیبپذیر باقی بمانند.
منبع: BleepingComputer



