الأمن السيبراني
#البرامج_الثابتة
#الثغرات_الأمنية
الثغرات الأمنية في البرامج الثابتة وتأثيرها على الأمان
تؤدي أدوات تحليل البرامج الثابتة الآلية وانخفاض تكلفة الأجهزة التقنية اللازمة لفحص معالجات الكمبيوتر والذاكرة إلى زيادة كبيرة في تقارير الثغرات الأمنية في البرامج الثابتة وضعف أمان اللوحات الأم.
في أحدث مثال، كشفت شركة جيجابايت، المصنعة للوحات الأم، في 10 يوليو عن مجموعة من أربع ثغرات في البرامج الثابتة التي استمرت في منصتها، على الرغم من أن المشكلات الأصلية - في البرامج الثابتة المقدمة من بائع BIOS المستقل AMI - تم تصحيحها منذ سنوات. تؤثر هذه المشكلات على وحدات إدارة النظام (SMM) في الأنظمة القديمة المعتمدة على إنتل، كما ذكرت جيجابايت في إفصاحها.
قالت الشركة: "قد يسمح الاستغلال الناجح لهذه الثغرات لمهاجم لديه وصول محلي بزيادة الامتيازات أو تنفيذ تعليمات برمجية عشوائية داخل بيئة SMM ذات الامتيازات العالية".
تعمل البرامج الثابتة كأدنى مستوى من البرمجيات بين الشرائح والأجهزة على اللوحة الأم ونظام تشغيل الكمبيوتر - طبقة من البرمجيات التي يزداد تركيز المهاجمين والباحثين عن الثغرات عليها. في الشهرين الماضيين، كشفت شركة Binarly المتخصصة في أمان البرامج الثابتة - التي اكتشفت مشكلات جيجابايت - عن مشكلات SMM في أجهزة ديل، متجاوزة واجهة البرامج الثابتة القابلة للتوسيع الموحدة (UEFI) Secure Boot، وتتوقع الكشف عن ثغرات في أجهزة لينوفو الشهر المقبل.
مرتبط: خطأ HPE OneView ذو الحد الأقصى من الشدة تم استغلاله في البرية
اكتشفت شركة ESET للأمن السيبراني مجموعات بدء تشغيل UEFI أنشأها المهاجمون، بما في ذلك Bootkitty لأنظمة لينكس في عام 2024 و BlackLotus UEFI bootkit في عام 2023.
تكمن المشكلة بالنسبة للعديد من مصنعي اللوحات الأم وبائعي BIOS المستقلين (IBVs) في أنه، بينما تكون الهوامش ضيقة، أصبحت تكلفة البرمجيات والمعدات اللازمة للتحقيق في البرامج الثابتة وأجهزة اللوحات الأم منخفضة نسبيًا، كما يقول غونتر أولمان، كبير مسؤولي التكنولوجيا في Cobalt، مزود خدمات الأمن الهجومي.
السرعة في السوق تتفوق على الأمان
بينما تستثمر الشركات الكبرى مثل ديل، إتش بي، ولينوفو موارد في أمان الأجهزة والبرامج الثابتة، غالبًا ما تعطي شركات BIOS المستقلة (IBVs) أولوية أقل للأمان، كما يقول أليكس ماتروسوف، مؤسس ومدير تنفيذي لشركة Binarly.
قال ماتروسوف: "المشكلة الرئيسية هي أن سوق الأجهزة تنافسي للغاية، ويتنافس البائعون ليس فقط على سرعة الوصول إلى السوق، ولكن أيضًا على مزايا التسعير". "في العديد من الحالات، اعتبر بعض مصنعي الأجهزة الأمان تكلفة إضافية غير ضرورية".
مرتبط: مجموعة RondoDox Botnet توسع نطاقها مع استغلال React2Shell
لا تمثل تعقيدات سلسلة التوريد التحدي الوحيد لمطوري البرامج الثابتة واللوحات الأم، كما يقول مارتن سمولار، باحث في البرمجيات الضارة مع ESET. كما أن تعقيد الشيفرة يعد مشكلة رئيسية أيضًا، كما يقول.
قال: "قليل من الناس يدركون أن البرامج الثابتة UEFI تعادل في الحجم والتعقيد أنظمة التشغيل - فهي تتكون حرفيًا من ملايين الأسطر من الشيفرة". "وكما نعلم، كلما زادت الشيفرة، زادت مساحة الأخطاء".
استشهد ماتروسوف بتعقيد الشيفرة كقضية رئيسية أيضًا. "أصبحت البرامج الثابتة المعتمدة على UEFI في الوقت الحاضر نظام تشغيل حقيقي معقد للغاية مع مجموعات USB والشبكات الخاصة بها، وأحيانًا حتى مساعد ذكاء اصطناعي"، كما يقول.
محنة برامج جيجابايت الثابتة
تتمثل إحدى الممارسات التي تعيق الأمان في أن البائعين غالبًا ما يحاولون توزيع إصلاحات الأمان فقط بموجب اتفاقية عدم الإفصاح، مما يترك العديد من مصنعي أجهزة الكمبيوتر المحمولة غير مدركين للثغرات المحتملة في شيفرتهم. هذه هي الحالة بالضبط التي تركت لوحات جيجابايت الأم مع إصدار غير آمن من البرنامج الثابت. أصلح بائع البرامج الثابتة AMI المشكلات منذ سنوات، لكن المشكلات لم تنتشر بعد إلى جميع مصنعي اللوحات الأم.
مرتبط: 5 تهديدات حددت الأمن في عام 2025
قال تقرير CERT/CC: "تم معالجة هذه الثغرات سابقًا من خلال إفصاحات خاصة، لكن التنفيذات الضعيفة لا تزال موجودة في بعض إصدارات البرنامج الثابت OEM مثل حالة جيجابايت".
بينما تؤثر على الأنظمة القديمة، فإن مشكلات جيجابايت خطيرة ويمكن أن تسمح لمهاجم تمكن من اختراق نظام تشغيل كمبيوتر أو خادم بالحصول على سيطرة مستمرة على النظام، وفقًا لتقرير حول الثغرات نشره مركز تنسيق CERT (CERT/CC) في معهد كارنيجي ميلون للهندسة البرمجية.
قال التقرير: "يمكن أن يؤدي الاستغلال إلى تعطيل آليات الأمان UEFI مثل Secure Boot و Intel BootGuard، مما يمكّن من زرع برامج ثابتة خفية والحصول على السيطرة المستمرة على النظام". "نظرًا لأن SMM يعمل تحت نظام التشغيل، فإن مثل هذه الهجمات يصعب اكتشافها أو التخفيف منها باستخدام أدوات الحماية التقليدية".
الحاجة إلى أدوات أفضل
تتمثل إحدى أسباب المشكلات الأمنية الكبيرة في نقص استخدام بائعي البرامج الثابتة للأدوات الآلية وأدوات إدارة الثغرات المحددة للمجال التي تركز على أمان البرامج الثابتة.
ومع ذلك، نظرًا لأن البرامج الثابتة تتطور دائمًا مع دمج أجهزة أحدث وأفضل في اللوحات الأم، يجب أيضًا تحديث مجموعة الأدوات، كما يقول أولمان من Cobalt.
قال: "من ناحية، لم تكن BIOS - ولن تكون أبداً - هدفًا ثابتًا". "إنها تتطور باستمرار، وإذا فكرت في كل الابتكارات التي تدخل في بنية اللوحة الأم وكل الأجهزة الطرفية التي يجب أن تتصل من خلالها ... سيكون هناك دائمًا بعض الثغرات للبحث عنها".
تواجه الشركات التي تشعر بالقلق من أن أنظمتها قد تأثرت بأحدث المشكلات صعوبة كبيرة في التحقق من سلامة أنظمتها. بينما يعد اكتشاف اختراق البرامج الثابتة أمرًا صعبًا، إلا أنه ليس مستحيلًا. باستخدام البرمجيات، يمكن فحص البرنامج الثابت من مستوى نظام التشغيل، ويمكن استخدام جهاز خاص لقراءة البرنامج الثابت مباشرة من شريحة ذاكرة UEFI، كما يقول سمولار من ESET.
يقول: "بمجرد أن يتم اختراق البرنامج الثابت، قد يكون من الصعب اكتشاف أو إزالة المكونات الضارة، ولكن عادةً ما يكون ذلك غير مستحيل." ويضيف: "لإزالة المكونات الضارة، فإن الطريقة الأكثر ملاءمة ستكون إعادة تحميل البرنامج الثابت باستخدام نسخة احتياطية معروفة جيدة من خلال جهاز برمجة مادي."
كما يضيف سمولار أن مصنعي اللوحات الأم وبائعي BIOS المستقلين بحاجة إلى إعطاء الأولوية للأمان، وتوفير التعليم المستمر حول البرمجة الآمنة للمطورين، وتحسين إدارة مفاتيح التشفير، والتأكد من تفعيل ميزات الأمان بشكل افتراضي.
عن الكاتب
صحفي تقني مخضرم لأكثر من 20 عامًا. مهندس بحث سابق. كتب لأكثر من اثني عشر منشورًا، بما في ذلك CNET News.com وDark Reading وMIT's Technology Review وPopular Science وWired News. حصل على خمس جوائز في الصحافة، بما في ذلك أفضل تغطية صحفية في الموعد النهائي (عبر الإنترنت) في عام 2003 لتغطيته دودة Blaster. يقوم بتحليل الأرقام حول اتجاهات مختلفة باستخدام Python وR. تشمل تقاريره الأخيرة تحليلات حول نقص العاملين في الأمن السيبراني واتجاهات الثغرات السنوية.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!