Milióny základných dosiek Gigabyte sa predali s potenciálne nebezpečnými zadnými vrátkami

Výskumná spoločnosť Eclypsium v ​​oblasti kybernetickej bezpečnosti objavil potenciálne nebezpečná bezpečnostná chyba vo firmvéri UEFI miliónov základných dosiek Gigabyte. Najmenej 271 modelov údajne obsahuje túto zraniteľnosť, ktorá by potenciálne mohla za určitých podmienok otvoriť cestu pre zločincov k tichému inštalovaniu malvéru na tieto systémy. Základné dosky Intel aj AMD z posledných niekoľkých rokov, vrátane mnohých najnovších produktov s čipsetmi Z790 a X670.

Podľa správy (cez Drôtové), je zraniteľnosť súčasťou aktualizačného programu, ktorý má automaticky stiahnuť a nainštalovať najnovšie aktualizácie firmvéru od spoločnosti Gigabyte bez akejkoľvek interakcie zo strany používateľa. Aj keď je zahrnutie tichého aktualizátora samo o sebe dôvodom na obavy, horšie je, že má obrovské bezpečnostné problémy, ktoré by mohli potenciálne umožniť jeho ukradnutie. Nielenže program sťahuje neoverený kód, ale niekedy to robí aj cez nezabezpečené pripojenia HTTP namiesto HTTPS, čo potenciálne otvára dvere pre útoky typu man-in-the-middle.

Aktualizátor môže dokonca predstavovať bezpečnostnú hrozbu, keď nie je počítač pripojený k internetu. Je to preto, že aktualizačný program má kapacitu na stiahnutie softvéru z lokálneho sieťového úložného zariadenia (NAS), čo môže pomôcť správcom systému aktualizovať všetky počítače v sieti naraz. Túto funkciu však môžu zneužiť aktéri hrozieb, ktorí sa môžu nabúrať do rovnakej siete a sfalšovať umiestnenie jednotky NAS, aby nainštalovali malvér bez toho, aby boli odhalení.

Eclypsium už kontaktovalo Gigabyte so svojím výskumom a taiwanská technologická firma tvrdí, že pracuje na aktualizácii, ktorá by túto zraniteľnosť definitívne odstránila. Celkovo sa hovorí, že „milióny“ základných dosiek s týmto problémom práve teraz kolujú po celom svete, takže zostáva uvidíme, ako rýchlo bude spoločnosť Gigabyte schopná zaviesť opravu, aby sa predišlo akémukoľvek veľkému bezpečnostnému problému zákazníkov.