[Pembaruan: Pernyataan Mfg.] Dewan SoC Populer Memiliki Cacat Keamanan Tak Tertandingi, Menyebabkan Banyak Komponen Otomotif, Industri, dan Militer Berisiko
Peneliti yang melakukan audit keamanan rutin baru-baru ini menemukan dua kelemahan keamanan yang serius dalam merek papan System on a Chip (SoC) yang populer. Kerentanan keamanan merusak kemampuan boot aman. Yang paling memprihatinkan adalah fakta bahwa SoC diterapkan di beberapa komponen penting yang masuk ke segmen industri arus utama seperti otomotif, penerbangan, elektronik konsumen, dan bahkan peralatan industri dan militer. Jika berhasil disusupi, dewan SoC dapat dengan mudah berfungsi sebagai platform untuk meluncurkan serangan yang canggih dan berkelanjutan pada beberapa infrastruktur paling kritis.
Peneliti keamanan dengan Inverse Path, yang merupakan tim keamanan perangkat keras F-Secure, menemukan dua kelemahan keamanan dalam merek SoC populer yang merusak kemampuan boot aman mereka. Meskipun satu dapat diatasi, kedua kerentanan tersebut saat ini belum ditambal. Papan SoC lebih disukai karena keserbagunaan dan perangkat kerasnya yang kuat, tetapi kerentanannya dapat menimbulkan beberapa ancaman keamanan yang serius. Menurut tim peneliti, kekurangan tersebut ada dalam mode boot aman 'Hanya Enkripsi' dari SoC.
'Inverse Path' Menemukan Dua Bug Keamanan Dalam Mode Boot Aman SoC:
Peneliti keamanan menemukan dua kelemahan keamanan dalam merek papan SoC populer yang diproduksi oleh Xilinx. Komponen yang rentan adalah merek Zynq UltraScale + Xilinx, yang mencakup produk System-on-Chip (SoC), multi-processor system-on-chip (MPSoC), dan radio-frequency system-on-chip (RFSoC). Papan dan komponen ini biasanya digunakan di dalam komponen otomotif, penerbangan, elektronik konsumen, industri, dan militer.
Itu kerentanan keamanan dilaporkan merusak kemampuan boot aman dari papan SoC. Peneliti menambahkan bahwa dari dua kelemahan keamanan tersebut, salah satunya tidak dapat ditambal oleh pembaruan perangkat lunak. Dengan kata lain, hanya “revisi silikon baru” dari vendor yang dapat menghilangkan kerentanan. Ini berarti semua papan SoC dari merek Zynq UltraScale + Xilinx akan tetap rentan kecuali ditukar dengan versi baru.
Peneliti telah menerbitkan laporan teknis di GitHub, yang merinci kerentanan keamanan. Laporan tersebut menyebutkan mode boot aman Xilinx Zynq UltraScale + Encrypt Only tidak mengenkripsi metadata gambar booting. Hal ini membuat data ini rentan terhadap modifikasi berbahaya, kata F-Secure's, Adam Pilkey. “Penyerang [dapat] merusak header boot pada tahap awal prosedur boot, [dan] dapat mengubah isinya untuk mengeksekusi kode arbitrer, sehingga melewati langkah-langkah keamanan yang ditawarkan oleh mode 'encrypt only',”
Dari dua kelemahan keamanan, yang pertama adalah penguraian header boot yang dilakukan oleh ROM boot. Kerentanan kedua adalah dalam penguraian tabel header partisi. Secara kebetulan, kerentanan kedua juga dapat memungkinkan penyerang jahat untuk memasukkan kode arbitrer, tetapi dapat ditambal. Yang perlu diperhatikan bahwa tidak ada tambalan, jika pernah dirilis untuk mengatasi kerentanan kedua, akan menjadi mubazir. Ini karena penyerang selalu dapat melewati patch apa pun yang akan dirilis perusahaan, dengan mengeksploitasi bug pertama. Karenanya, Xilinx belum merilis perbaikan perangkat lunak untuk bug kedua juga.
Attack Scope Terbatas Tapi Potensi Damage Tinggi, Peneliti Klaim:
Zynq UltraScale + SoCs yang dikonfigurasi untuk boot dalam mode boot aman "hanya enkripsi" dipengaruhi oleh masalah ini. Dengan kata lain, hanya papan SoC ini yang terpengaruh dan yang lebih penting, ini harus dimanipulasi untuk boot dalam mode tertentu, agar rentan. Dalam operasi normal, papan ini aman. Meskipun demikian, mode boot aman sering digunakan oleh vendor peralatan. Vendor dan pengembang perangkat lunak mengandalkan mode ini untuk "menegakkan otentikasi dan kerahasiaan firmware dan aset perangkat lunak lain yang dimuat di dalam perangkat yang menggunakan Zynq UltraScale + SoCs sebagai komponen komputasi internal mereka."
Aspek yang paling membatasi dari kerentanan adalah bahwa penyerang harus memiliki akses fisik ke papan SoC. Penyerang ini harus melakukan serangan Analisis Daya Diferensial (DPA) pada urutan boot-up papan SoC untuk memasukkan kode berbahaya. Mengingat skenario penyebaran yang disukai dari papan Zynq UltraScale + SoC, serangan fisik adalah satu-satunya jalan untuk penyerang. Kebetulan, sebagian besar papan ini umumnya diterapkan pada peralatan yang tidak tersambung ke jaringan eksternal. Oleh karena itu serangan jarak jauh tidak mungkin dilakukan.
Panduan Teknis Pembaruan Xilinx Untuk Mendidik Pengguna Tentang Teknik Pencegahan dan Perlindungan:
Menariknya, ada mode boot aman lain yang tidak mengandung kerentanan keamanan. Menyusul temuan F-Secure, Xilinx mengeluarkan nasihat keamanan yang menyarankan vendor peralatan untuk menggunakan mode boot aman Hardware Root of Trust (HWRoT) alih-alih hanya satu Enkripsi yang lebih lemah. “Mode boot HWRoT mengotentikasi boot dan header partisi,” kata Xilinx.
Untuk sistem yang dibatasi untuk menggunakan mode booting Hanya Enkripsi yang rentan, pengguna diperingatkan untuk terus memantau DPA, boot yang tidak diautentikasi, dan vektor serangan header partisi. Kebetulan, ada beberapa teknik perlindungan tingkat sistem yang dapat membatasi eksposur papan SoC ke lembaga eksternal atau berbahaya yang mungkin ada di lokasi.
[Pembaruan]: Xilinx telah menjangkau dan mengonfirmasi bahwa cacat yang tidak dapat ditambal ada terutama karena pelanggan menuntut mode Hanya Enkripsi tersedia dalam merek Zynq UltraScale + SoC. Dengan kata lain, perusahaan mencatat fitur desain yang mereka terapkan mengikuti permintaan pelanggan, akan membuat SoC terkena risiko keamanan. Xilinx menambahkan bahwa mereka selalu memperingatkan pelanggan "mereka perlu menerapkan fungsi keamanan tingkat sistem tambahan untuk mencegah masalah apa pun".