GIGABYTE製マザーボードのファームウェア更新機能に中間者攻撃リスク 数百モデルに影響:GIGABYTEはBIOS更新プログラムを公開へ
サイバーセキュリティ企業のEclypsiumは、GIGABYTE製マザーボードのUEFIファームウェアやソフトウェアを更新する機能でバックドアに類似した仕組みが採用されており、サイバー攻撃に悪用される恐れがあることを明らかにした。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
PCやサーバ、通信機器のファームウェアを保護するセキュリティソフトウェアを提供するEclypsiumは2023年5月31日(米国時間、以下同)、数百のGIGABYTE Technology(以後、GIGABYTE)製マザーボードモデルにおいて、ファームウェアやソフトウェアを更新するための「アプリセンター(APP Center)機能」でバックドアに類似する仕組みが採用されており、サイバー攻撃に悪用される恐れがあると、公式ブログで明らかにした。
Eclypsiumは、アプリセンター機能の安全でない実装の改善に向けてGIGABYTEに協力しており、GIGABYTEは6月1日、同問題を修正するBIOS更新プログラムを公開した。
バックドアに類似する仕組みとは
Eclypsiumによると、対象のGIGABYTE製マザーボードでは、ファームウェアやソフトウェアを更新するアプリセンター機能のために以下の2段階の仕組みが取られている。
- 段階1:マザーボードのUEFIファームウェアがシステムの起動プロセスの一部として、ファームウェア内に埋め込まれたWindows実行ファイルをディスクに書き込む
- 段階2:このWindows実行ファイルがWindowsサービスとして実行され、安全でない方法で追加のペイロードをダウンロードし、実行する
Eclypsiumは、アプリセンター機能の実装が、サイバー攻撃者に悪用されるComputraceバックドア(LoJack DoubleAgentとも呼ばれる)のようなOEMバックドアの機能や「Sednit LoJax」「MosaicRegressor」「Vector-EDK」などのファームウェアインプラントで使われているものと同様だと指摘している。
MITM攻撃のリスク
Eclypsiumによると、上記の段階2でWindows実行ファイルは、設定に応じて以下のいずれかの場所から、実行可能なペイロードをダウンロードして実行する。
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Eclypsiumは3つのWebサイトについて、次のように問題点を指摘している。
- 1つ目のWebサイトはHTTPであり、中間者攻撃(MITM攻撃)で容易に侵害されるため、特権コードの更新には決して使用してはならない
- HTTPSが有効なオプションを使用する場合でも、リモートサーバ証明書の検証が正しく実装されておらず、MITM攻撃を受ける可能性がある
- いずれのWebサイトも、侵害されたルーター、同じネットワークセグメント上の侵害されたデバイス、DNSポイズニング、または他のネットワーク操作を介したMITM攻撃を受ける可能性がある
- 3つ目のWebサイトは完全修飾ドメイン名ではないことから、ローカルサブネット上の攻撃者が、DNSスプーフィングを行わなくても、インプラントをだまして自分のシステムに接続させることができる可能性がある
さらにEclypsiumは、実行ファイルに対する暗号化デジタル署名などを用いた検証が、ファームウェアに実装されていないことも指摘した。攻撃者がこの点を突いて、MITM攻撃や侵害されたITインフラを用いて、脆弱(ぜいじゃく)なシステムを持続的に攻撃する恐れがあると指摘している。
GIGABYTEはBIOS更新プログラムを配信へ
GIGABYTEは6月1日、Intel 700/600シリーズとAMD 500/400シリーズのチップセットを搭載したマザーボード用に、同問題に対処したβ版BIOSを公開したことを明らかにした。Intel 500/400およびAMD 600シリーズチップセット搭載マザーボード用のBIOS更新プログラムも、今後公開予定としている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。