Amerikaanse regering waarschuwt dat firmware presenteert "een groot en steeds groter aanvalsoppervlak."
De Amerikaanse regering, op het allerhoogste niveau, vestigt de aandacht op grote zwakheden in de toeleveringsketen van firmware en waarschuwt dat de laag onder het besturingssysteem een vruchtbare voedingsbodem is voor verwoestende aanvallen van hackers.
Een nieuw gezamenlijk conceptrapport, uitgegeven door het leiderschap van het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) en het ministerie van Handel, zei dat firmware "een groot en steeds groter wordend aanvalsoppervlak" bood voor kwaadwillende hackers om de kern van moderne computers te ondermijnen.
"Het beveiligen van de firmwarelaag wordt vaak over het hoofd gezien, maar het is een single point of failure in apparaten en is een van de meest onopvallende methoden waarmee een aanvaller apparaten op grote schaal kan compromitteren."
"Aanvallers kunnen de zichtbaarheid van het besturingssysteem en de hypervisor ondermijnen en de meeste beveiligingssystemen omzeilen, zich gedurende langere tijd in netwerken en apparaten verbergen en erin voortduren terwijl ze aanvalsoperaties uitvoeren, en onherroepelijke schade toebrengen", zeiden de twee instanties na een eenjarige evaluatie van de supply chains voor kritieke IT-infrastructuur geïmplementeerd in de Verenigde Staten.
“Firmware kan ook een lucratief doelwit zijn met relatief lage aanvalskosten. De afgelopen jaren hebben hackers zich steeds meer op firmware gericht om verwoestende aanvallen uit te voeren.”
Het 96 pagina's tellende rapport (PDF), gepubliceerd ter ondersteuning van de Biden Executive Order voor het beveiligen van de Amerikaanse toeleveringsketens, waarschuwde dat de bevoorrechte positie van firmware in de computerstack sluipende aanvallers een groot voordeel geeft.
[ LEZEN: Microsoft: Firmware-aanvallen overtreffen investeringen in beveiliging ]
Ondanks zijn essentiële rol in elektronische apparaten, drongen de bureaus erop aan dat firmwarebeveiliging "van oudsher geen hoge prioriteit heeft voor fabrikanten of gebruikers en niet altijd goed wordt beschermd."
Tijdens de beoordeling ontdekten de bureaus dat firmware op items zoals netwerkkaarten, wifi-adapters en USB-hubs vaak niet correct zijn ondertekend met openbare of privésleutels.
"Deze apparaten kunnen niet controleren of de werkende firmware authentiek is en kan worden vertrouwd."
Erger nog, de bureaus vestigden speciale aandacht op het feit dat OEM's en computermakers de ontwikkeling van firmware uitbesteden aan externe leveranciers. "[Dit] introduceert risico's die verband houden met het gebrek aan transparantie in de programmering van leveranciers en cyberbeveiligingsnormen."
[ LEZEN: Productieve Chinese APT betrapt met gebruik van 'MoonBounce' UEFI-firmware ]
De waarschuwing van de regering komt op het moment dat dreigingjagers tekenen opmerken dat: APT-actoren van de natiestaat gebruiken UEFI-firmware-implantaten om heimelijke infecties te behouden en herstarts en herinstallaties van het besturingssysteem te overleven. De beruchte FinSpy-toolkit voor surveillance-spyware was ook: voorzien van een bootkit om heimelijke infecties uit te voeren.
In het rapport waarschuwden de agentschappen ook voor "complexe toeleveringsketens" die de problemen bij het beveiligen van firmware-implementaties verergeren.
“Bij pc-productie zijn de OEM's bijvoorbeeld doorgaans verantwoordelijk voor de firmware en de rest van de pc-platformelementen. Veel OEM's besteden de ontwikkeling van firmware echter uit aan externe leveranciers waar OEM's mogelijk geen inzicht hebben in hun cyberbeveiligingshygiëne. Zelfs als OEM's beveiligingsnormen vaststellen, zijn ze mogelijk niet in staat om de beveiligingsprotocollen van leveranciers af te dwingen voor een breed scala aan componenten en subleveranciers', waarschuwden de overheidsinstanties.
Het rapport merkte ook op dat individuele OEM-leveranciers de firmware kunnen wijzigen op basis van de behoeften van het apparaat zodra de firmware aan de OEM is geleverd. "Dit kan tot verwarring leiden over welke partij uiteindelijk verantwoordelijk is voor de firmware-integriteit en wie updates aan de klant moet leveren."
[ LEZEN: Tientallen UEFI-kwetsbaarheden hebben invloed op miljoenen apparaten van grote leveranciers ]
"Bovendien sluiten OEM's, naarmate apparaten en firmware veranderen, vaak een contract met verschillende firmware-ontwikkelaars, wat kan leiden tot vertragingen of het uitblijven van updates wanneer oudere apparaten moeten worden bijgewerkt en de oorspronkelijke ontwikkelaar niet beschikbaar is. Al deze factoren kunnen de firmware openstellen voor kwaadwillende aanvallen", aldus het rapport.
De bureaus vroegen ook aandacht voor het pijnpunt van het toepassen van firmware-updates. “Het updateproces en de mogelijkheden van een firmware verschillen per apparaat. Sommige apparaten ontvangen regelmatig firmware-updates. Sommigen krijgen tijdens hun leven misschien maar één update, terwijl anderen misschien nooit een update krijgen."
Erger nog, het proces om firmware-updates te installeren is niet eenvoudig, wat leidt tot overgeslagen patches voor kwetsbaarheden op kritiek niveau.
"Firmware-updates vormen een grote logistieke uitdaging voor veel ondernemingen", aldus de agentschappen. “In veel gevallen wordt de apparaatfirmware nooit of alleen in noodgevallen bijgewerkt. Bovendien mogen leveranciers alleen firmware-updates leveren als dit wordt veroorzaakt door een incident of een geïdentificeerde kwetsbaarheid.”
Verwant: Microsoft: Firmware-aanvallen overtreffen investeringen in beveiliging
Verwant: Microsoft koopt ReFirm Labs om IoT Firmware Security Push uit te breiden
Verwant: FinSpy Surveillance Spyware uitgerust met UEFI Bootkit
Verwant: Kritieke, exploiteerbare fouten in NETGEAR-routerfirmware
Verwant: Productieve Chinese APT betrapt met gebruik van 'MoonBounce' UEFI-firmware
Verwant: Twee dozijn UEFI-kwetsbaarheden hebben invloed op miljoenen apparaten van grote leveranciers
Verwant: ESET ontdekt UEFI Bootkit in cyberspionagecampagne
Ryan Naraine is hoofdredacteur bij SecurityWeek en gastheer van de populaire Beveiligingsgesprekken podcast-serie. Hij is een journalist en cyberbeveiligingsstrateeg met meer dan 20 jaar ervaring op het gebied van IT-beveiliging en technologische trends.
Ryan heeft beveiligingsprogramma's opgezet bij grote internationale merken, waaronder Intel Corp., Bishop Fox en Kaspersky GReAT. Hij is mede-oprichter van Threatpost en de wereldwijde SAS-conferentiereeks. Ryans carrière als journalist omvat onder meer artikelen bij grote technologiepublicaties, waaronder Ziff Davis eWEEK, CBS Interactive's ZDNet, PCMag en PC World.
Ryan is directeur van de non-profitorganisatie Security Tinkerers en spreekt regelmatig op beveiligingsconferenties over de hele wereld.
Volg Ryan op Twitter @ryanaraine.
Tags:
