Milijonai Gigabyte pagrindinių plokščių buvo parduoti su potencialiai pavojingomis užpakalinėmis durimis

Kibernetinio saugumo tyrimų įmonė „Eclypsium“. atrado potencialiai pavojingas milijonų gigabaitų pagrindinių plokščių UEFI programinės įrangos saugumo trūkumas. Teigiama, kad mažiausiai 271 modelyje yra pažeidžiamumas, dėl kurio nusikaltėliai gali tam tikromis sąlygomis tyliai įdiegti kenkėjiškas programas šiose sistemose. Tiek Intel, tiek AMD pagrindinės plokštės buvo paveikti per pastaruosius kelerius metus, įskaitant daugelį naujausių produktų su Z790 ir X670 mikroschemų rinkiniais.

Kaip teigiama pranešime (per Laidinis), pažeidžiamumas yra naujinimo programos dalis, kuri turėtų automatiškai atsisiųsti ir įdiegti naujausius programinės aparatinės įrangos naujinimus iš Gigabyte be jokio vartotojo sąveikos. Nors tylaus atnaujinimo programos įtraukimas pats savaime kelia susirūpinimą, dar blogiau yra tai, kad jis turi didelių saugumo problemų, dėl kurių gali būti užgrobtas. Programa ne tik atsisiunčia neautentifikuotą kodą, bet ir kartais tai daro per nesaugius HTTP ryšius, o ne HTTPS, taip atverdama duris tarpininkų atakoms.

Atnaujinimo programa netgi gali kelti grėsmę saugumui, kai įrenginio nėra prijungtas prie interneto. Taip yra todėl, kad atnaujinimo programa gali atsisiųsti programinę įrangą iš vietinio tinklo prijungto saugojimo įrenginio (NAS), kad padėtų sistemos administratoriams vienu metu atnaujinti visus savo tinkle esančius kompiuterius. Tačiau šia funkcija gali pasinaudoti grėsmės veikėjai, kurie gali įsilaužti į tą patį tinklą ir apgaudinėti NAS disko vietą, kad neįdiegtų kenkėjiškų programų neaptikti.

„Eclypsium“ jau susisiekė su „Gigabyte“ dėl savo tyrimų, o Taivano technologijų įmonė teigia, kad ji dirba prie atnaujinimo, kad ištaisytų pažeidžiamumą. Apskritai sakoma, kad šiuo metu visame pasaulyje cirkuliuoja „milijonai“ pagrindinių plokščių su problema, todėl ji išlieka kad pamatytumėte, kaip greitai „Gigabyte“ galės įdiegti pataisymą, kad būtų išvengta didelių jo saugumo problemų klientų.