2013-04-06

AMIのソースコードと秘密鍵が公開FTP経由で流出?

Security Done Wrong: Leaky FTP Server - Adam Caudill

あるセキュリティ研究者によれば、AMIファームウェアのソースコードと秘密鍵が公開FTP経由で流出したそうだ。

ソースコードのコメントを読むと、少なくとも2012年に変更されたらしき後があり、かなり最近のソースコードである。

また、秘密鍵は、ファームウェアのアップデートを行う際のバイナリの認証鍵であるという。

これは、ファームウェアの書き換えによる攻撃を可能にする。

mjg59 | Leaked UEFI signing keys

Red HatのMatthew Garrettによれば、まあ、それほど心配することはないだろうとのことだ。

ファームウェアを書き換えれば、セキュアブートを無効化したり、あるいは攻撃者の公開鍵をひそかに付け加えたりできる。

しかし、いくらソースコードと秘密鍵が流出したとはいえ、ファームウェアはマザーボードごとにバイナリが異なるので、特定の個人を狙った攻撃ぐらいでしか役に立たないだろうとのことだ。

それに、ファームウェアの書き換えを許した時点で、相当に何でもできる状況になっている気もする。

Matthew Garrettは2004年に、secring.gpgという文字列を含むURLのページが、かなり高い確率で秘密鍵を含み、Googleで検索すればうっかり秘密鍵を公開してしまっているWebサイトがぞろぞろ出てくることを警告している。多くは公開FTPによるものだった。

An important lesson

それがもう2004年のことで、当時から状況が何も変わっていないことに驚いている。

更新:

秘密鍵はマザボベンダーで置き換えるようになっていたので、まともなマザボベンダーの製品なら、問題にならないそうだ。ただし、無頓着なマザボベンダーの存在が考えられる。

No comments: