Rantai Pasokan Firmware Mewabah Keamanan Perangkat

Rantai Pasokan Firmware Mewabah Keamanan Perangkat


BLACK HAT ASIA 2022 — Dalam hal mengembangkan firmware yang mendukung perangkat komputasi, ekosistem terdiri dari rantai pasokan kompleks yang memiliki banyak kontributor. Untuk perangkat apa pun, firmware dapat terdiri dari gado-gado komponen dari sumber yang berbeda. Dan itu berarti bahwa ketika saatnya untuk mengatasi kerentanan keamanan, itu jauh dari proses yang mudah untuk mendapatkan tambalan ke publik.

Dalam sesi diskusi panel di Black Hat Asia pada hari Kamis, yang berjudul “Keamanan Rantai Pasokan Firmware Rusak: Bisakah Kami Memperbaikinya?“, Kai Michaelis, salah satu pendiri dan CTO di Immune GmbH, menguraikan apa yang disebutnya sebagai “pohon” rantai pasokan yang tumbuh terlalu besar, yang darinya menumbuhkan tinjauan kode yang berat, dan proses penambalan yang panjang ketika bug ditemukan.

Faktanya, rata-rata enam hingga sembilan bulan untuk tambalan diluncurkan, menurut panelis – dengan dua tahun yang tidak biasa. Dan itu berarti rantai pasokan mewakili permukaan serangan yang luas yang siap untuk kompromi, mereka memperingatkan. Mengingat bahwa firmware yang rentan mengancam keamanan sistem operasi dan aplikasi apa pun, potensi penyerang siber untuk menemukan kerentanan yang dapat dieksploitasi merupakan perhatian serius.

Pohon Berduri Kompleksitas Rantai Pasokan

Firmware terakhir yang dimasukkan vendor ke dalam perangkat keras mereka adalah urusan multisumber, jelas Michaelis. Pemangku kepentingan dapat mencakup berbagai vendor komponen, beberapa repositori open supply, implementasi referensi, produsen desain asli, vendor BIOS independen, dan akhirnya, produsen peralatan asli (OEM) yang membuat dan menjual produk akhir ke mitra saluran dan pengguna akhir.

Masalah rumit lebih lanjut adalah fakta bahwa vendor subsistem mungkin duduk di tengah-tengah pohon kode, dengan sendirinya menggabungkan elemen dari beberapa produsen komponen ke dalam satu penawaran.

Hasil akhir yang disayangkan adalah ketika kerentanan dilaporkan, OEM sering kali memiliki banyak “cabang” dari mana patch dan pembaruan mengalir — dan mereka biasanya tidak memiliki visibilitas satu sama lain.

“Ini adalah pohon pemasok dan pembaruan dengan sedikit koordinasi di antara mereka, dan OEM harus menyerap semuanya,” kata Michaelis. “Untuk vendor, mengemas pembaruan adalah proses yang cukup handbook, dan kemudian konsumen harus benar-benar menginstal pembaruan tersebut. Secara keseluruhan, proses penambalan sebagaimana adanya dapat diukur dalam hitungan bulan hingga tahun.”

Salah satu masalah utama yang ditandai oleh Michaelis adalah fakta bahwa ketika bug ditemukan, mereka mungkin tidak berbahaya. Namun, ketika digabungkan dengan vuln tambahan di bagian lain dari firmware, kelemahan tersebut dapat dijadikan senjata dan dapat memungkinkan serangan terhadap mitra reseller nilai tambah (VAR) — dan dari sana, pengguna akhir.

“Meyakinkan vendor untuk menambal apa yang diyakininya sebagai cacat yang tidak berbahaya tidaklah mudah,” katanya. “Dan bahkan jika ada tambalan, butuh waktu lama untuk turun sehingga penyerang dapat dengan mudah menemukan kerentanan lain untuk digabungkan dengannya sementara itu. Jadi inilah masalahnya: Bug ada dalam isolasi karena vendor tidak berbicara satu sama lain, dan serangga memiliki umur simpan yang lama.”

Setidaknya ada tiga aspek lain yang memperburuk keadaan: Pertama, perangkat end-of-life (EoL) sering kali tidak mendapatkan pembaruan; dua, setiap vendor mengikuti siklus patchnya sendiri; dan tiga, terkadang vendor menawarkan pembaruan diam-diam tanpa mengeluarkan nasihat, yang dapat mencegah OEM memasukkan tambalan.

Mengulangi Kesalahan yang Sama

Alex Matrosov, pendiri dan CEO di Binarly, menjelaskan selama panel bahwa seperti di rantai pasokan perangkat lunakbug firmware juga dapat disebarkan dan diimpor kembali bahkan setelah ditambal, yang mengakibatkan apa yang disebutnya “kegagalan yang dapat diulang”.

Misalnya, bug yang baru-baru ini diungkapkan di salah satu komponen dalam package laptop computer Intel M15 (CVE-2022-27493) adalah kesalahan penulisan klasik di luar batas yang berasal dari kerusakan memori mode manajemen sistem (SMM) — tetapi tidak seperti apa yang tampak.

“Ini sebenarnya bug 2019 yang ditemukan di foundation kode AMI yang sekarang kami temukan di firmware 2022,” Matrosov menjelaskan. “Kerentanan ini telah diperbaiki, tetapi versi tetapnya tidak disertakan oleh vendor perangkat. Ini adalah komponen yang sangat rentan dan telah dikenal selama bertahun-tahun sebagai vektor serangan yang cocok, dan harus dihapus.”

Dalam contoh lain, kode rentan di perpustakaan sumber terbuka EDK yang disebut SecurityPkg telah dihapus di EDK II pada tahun 2018. Namun, entah bagaimana ia menemukan jalannya ke firmware 2022 yang memengaruhi beberapa OEM, melalui perpustakaan lain. “Risiko dikompilasi secara eksponensial,” kata Matrosov.

Prinsip Terbaik untuk Memangkas Kembali Kesengsaraan Menambal

Jadi, apa yang harus dilakukan? Menurut panel, dibutuhkan perubahan besar dalam strategi dan pemikiran untuk menopang keamanan firmware secara andal. Namun, tempat yang baik untuk memulai adalah daftar aspiratif dari prinsip pertama.

Para panelis menganjurkan, misalnya, bahwa OEM dan anggota komunitas keamanan secara keseluruhan melakukan upaya bersama untuk mendidik vendor komponen dan elemen rantai pasokan lainnya tentang keamanan dan meyakinkan mereka bahwa pembaruan adalah suatu keharusan, bahkan untuk perangkat EoL — dan bahwa selanjutnya, jika mereka tidak mengeluarkan CVE, menjadi lebih sulit untuk mengkomunikasikan urgensi untuk menambal dan bug menjadi sulit untuk dilacak.

OEM juga harus melakukan upaya untuk meningkatkan transparansi risiko, menurut panel tersebut. Ini dapat dilakukan dengan memfasilitasi komunikasi yang lebih baik antara vendor dan membuat gudang informasi terpusat tentang patch dan bug.

“Memperbaiki rantai pasokan adalah olahraga tim,” kata Matrosov, mencatat bahwa bekerja dengan tim tanggap darurat komputer (CERT) adalah tujuan yang baik.

“Kami benar-benar membutuhkan badan independen untuk membantu mengoordinasikan tambalan ketika mereka memengaruhi beberapa vendor, dan untuk memfasilitasi penambalan secara simultan. Jika satu vendor menambal dan yang lain tidak, itu menciptakan situasi zero-day yang berbahaya untuk subset perangkat,” dia ditambahkan.

Kolaborasi komunitas keamanan swasta juga akan menjadi kunci, kata panelis. Misalnya, Linux Basis telah meluncurkan situs net bernama LVFS, yang merupakan layanan firmware vendor yang memungkinkan OEM mengunggah pembaruan firmware untuk didistribusikan ke pengguna Linux tanpa biaya. Sejauh ini, sekitar 150 vendor berpartisipasi, termasuk Dell, HP, Intel, dan Lenovo.

“Ada sekitar 1.000 perangkat berbeda yang didukung, dan kami telah mengirimkan lebih dari 51 juta pembaruan sejak kami memulai proyek ini,” kata panelis Richard Hughes, insinyur utama di Crimson Hat. “Juga, kami dapat mengambil firmware dan mendekompresnya menjadi pecahan. Sebuah pecahan mungkin berupa EFI, biner, mikrokode Intel, gambar AMD PSP, dll. Jadi, semua vendor yang mengunggah semua pembaruan itu memberi kami sejumlah besar knowledge. “

Dari sana, sistem dapat menunjukkan kepada pengguna, katakanlah, mikrokode Intel terbaru yang tersedia untuk semua mannequin berbeda dalam sistem — dan dapat mendorong pembaruan secara otomatis.

Ada banyak yang harus dilakukan, tapi Hughes membuat catatan optimis.

“Kesimpulan pribadi saya adalah bahwa dengan bekerja sama dengan CERT dan perusahaan keamanan, kami dapat meningkatkan sistem kekebalan lebih jauh, mempercepat proses pengiriman perbaikan ke pengguna akhir dan memastikan bahwa masalah keamanan ditambal oleh semua vendor,” kata Hughes. “Ini adalah masalah yang sangat sulit yang telah menjangkiti seluruh industri selama 20 tahun. Baru sekarang kami memiliki semua infrastruktur dan knowledge untuk membuat segalanya lebih baik.”

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts