- 21,416
- 46
- 8 Ноя 2022
Ошибки в управлении ключами ставят под удар UEFI-экосистему.
В конце февраля 2025 года Binarly получила сообщение о подозрительном инциденте в экосистеме UEFI. Запись в публичном репозитории SupplyChainAttacks указывала на утечку приватных ключей Boot Guard в прошивках устройств Clevo. Источник — форум Win-Raid, где пользователь обнаружил приватные ключи в открытом доступе в составе пакета обновления BIOS.
Подозрения подтвердились: исследование показало, что в бинарном файле BootGuardKey.exe действительно содержатся два приватных ключа, также продублированные в отдельных PEM-файлах. Извлечённые модули ключей совпадают с модулями, используемыми в Boot Guard Key Manifest и Boot Policy Manifest в прошивках Clevo. Это означает, что злоумышленник может подписать вредоносную прошивку, которая будет успешно проходить проверку подлинности на уровне платформы, обходя механизм защиты Boot Guard.
Binarly выявила 15 прошивок с раскрытыми ключами, охватывающих 10 уникальных устройств. Все используют BIOS от Insyde и произведены на ODM-платформе Clevo. Среди них — модели Gigabyte G5, G6 и G7, включая выпущенный в 2025 году G6X 9KG.
<table border="1" cellpadding="6" cellspacing="0"> <thead> <tr> <th> Device Name </th> <th> ODM </th> <th> IBV </th> <th> Firmware Version </th> <th> Release Date </th> <th> Latest Version </th> </tr> </thead> <tbody> <tr> <td> XPG Xenia 15G G2303_V1.0.8 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8320.0 </td> <td> 2023-06-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KE </td> <td> Clevo </td> <td> Insyde </td> <td> FB05 </td> <td> 2023-03-07 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD06 </td> <td> 2024-01-10 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-10-17 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD10 </td> <td> 2024-12-09 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 MF </td> <td> Clevo </td> <td> Insyde </td> <td> FB03 </td> <td> 2023-04-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB06 </td> <td> 2023-10-23 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-01-19 </td> <td> False </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2025-02-04 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2024-02-16 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB09 </td> <td> 2023-10-18 </td> <td> False </td> </tr> <tr> <td> NoteBook System Firmware 1.07.07TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.7 </td> <td> 2023-09-05 </td> <td> True </td> </tr> <tr> <td> NoteBook System Firmware 1.07.09TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.9 </td> <td> 2023-11-28 </td> <td> True </td> </tr> </tbody> </table> Примечательно, что среди затронутых устройств есть как устаревшие модели, так и актуальные версии прошивок. То есть скомпрометированные ключи продолжают использоваться в действующих продуктах, что делает потенциальную угрозу особенно опасной. Также в списке фигурируют два системных BIOS с названиями NoteBook System Firmware, не относящиеся напрямую к брендовым устройствам, что намекает на возможную вовлечённость других OEM-производителей.
Важно подчеркнуть, что проблема касается только устройств, базирующихся на платформах Clevo. В обширной базе данных Binarly, включающей более 200 000 пакетов прошивок от различных производителей, подобных утечек среди других вендоров обнаружено не было. Это говорит о том, что инцидент в первую очередь связан с ошибками управления ключами у конкретного ODM.
Binarly направила уведомление об уязвимости под кодом BRLY-2025-002 в координационный центр CERT/CC 28 февраля. Однако спустя несколько дней кейс был закрыт без подробных разъяснений. О всех деталях инцидента и повторяющихся ошибках в управлении ключами команда Binarly планирует рассказать на предстоящей конференции RSA.
В конце февраля 2025 года Binarly получила сообщение о подозрительном инциденте в экосистеме UEFI. Запись в публичном репозитории SupplyChainAttacks указывала на утечку приватных ключей Boot Guard в прошивках устройств Clevo. Источник — форум Win-Raid, где пользователь обнаружил приватные ключи в открытом доступе в составе пакета обновления BIOS.
Подозрения подтвердились: исследование показало, что в бинарном файле BootGuardKey.exe действительно содержатся два приватных ключа, также продублированные в отдельных PEM-файлах. Извлечённые модули ключей совпадают с модулями, используемыми в Boot Guard Key Manifest и Boot Policy Manifest в прошивках Clevo. Это означает, что злоумышленник может подписать вредоносную прошивку, которая будет успешно проходить проверку подлинности на уровне платформы, обходя механизм защиты Boot Guard.
Binarly выявила 15 прошивок с раскрытыми ключами, охватывающих 10 уникальных устройств. Все используют BIOS от Insyde и произведены на ODM-платформе Clevo. Среди них — модели Gigabyte G5, G6 и G7, включая выпущенный в 2025 году G6X 9KG.
<table border="1" cellpadding="6" cellspacing="0"> <thead> <tr> <th> Device Name </th> <th> ODM </th> <th> IBV </th> <th> Firmware Version </th> <th> Release Date </th> <th> Latest Version </th> </tr> </thead> <tbody> <tr> <td> XPG Xenia 15G G2303_V1.0.8 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8320.0 </td> <td> 2023-06-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KE </td> <td> Clevo </td> <td> Insyde </td> <td> FB05 </td> <td> 2023-03-07 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD06 </td> <td> 2024-01-10 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-10-17 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD10 </td> <td> 2024-12-09 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 MF </td> <td> Clevo </td> <td> Insyde </td> <td> FB03 </td> <td> 2023-04-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB06 </td> <td> 2023-10-23 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-01-19 </td> <td> False </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2025-02-04 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2024-02-16 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB09 </td> <td> 2023-10-18 </td> <td> False </td> </tr> <tr> <td> NoteBook System Firmware 1.07.07TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.7 </td> <td> 2023-09-05 </td> <td> True </td> </tr> <tr> <td> NoteBook System Firmware 1.07.09TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.9 </td> <td> 2023-11-28 </td> <td> True </td> </tr> </tbody> </table> Примечательно, что среди затронутых устройств есть как устаревшие модели, так и актуальные версии прошивок. То есть скомпрометированные ключи продолжают использоваться в действующих продуктах, что делает потенциальную угрозу особенно опасной. Также в списке фигурируют два системных BIOS с названиями NoteBook System Firmware, не относящиеся напрямую к брендовым устройствам, что намекает на возможную вовлечённость других OEM-производителей.
Важно подчеркнуть, что проблема касается только устройств, базирующихся на платформах Clevo. В обширной базе данных Binarly, включающей более 200 000 пакетов прошивок от различных производителей, подобных утечек среди других вендоров обнаружено не было. Это говорит о том, что инцидент в первую очередь связан с ошибками управления ключами у конкретного ODM.
Binarly направила уведомление об уязвимости под кодом BRLY-2025-002 в координационный центр CERT/CC 28 февраля. Однако спустя несколько дней кейс был закрыт без подробных разъяснений. О всех деталях инцидента и повторяющихся ошибках в управлении ключами команда Binarly планирует рассказать на предстоящей конференции RSA.
- Источник новости
- www.securitylab.ru
