Эксперты из компании Eclypsium, специализирующейся на безопасности прошивок и оборудования, заявили, что сотни моделей материнских плат Gigabyte содержат бэкдор, который может представлять значительный риск для организаций.
Специалисты Eclypsium говорят о наличии бэкдора, основываясь на поведении, связанном с этой функциональностью, которое вызвало срабатывание предупреждений на платформе компании.
В частности, исследователи определили, что прошивка многих материнских плат Gigabyte содержит Windows-бинарник, который выполняется при загрузке операционной системы. Затем этот файл загружает и запускает другую полезную нагрузку, полученную с серверов Gigabyte.
Отмечается, что пейлоад загружается через небезопасное соединение (HTTP или неправильно настроенный HTTPS) и легитимность файла никак не проверяется.
Эксперты признают, что нет никаких доказательств того, что этот бэкдор использовался во вредоносных целях, а сама функциональность связана с Gigabyte App Center, и это подтверждает документация на сайте производителя.
Однако, по словам представителей Eclypsium, трудно окончательно исключить возможность того, что это вредоносный бэкдор, проникший в прошивки Gigabyte либо стараниями злоумышленников, либо в результате взлома систем компании. Также трудно сказать, не был ли бэкдор привнесен в прошивку, пока железо двигалось по цепочке поставок.
Даже если это легитимная функциональность, специалисты предупреждают, что ею в любом случае могут воспользоваться злоумышленники, и хакеры нередко используют подобные инструменты в своих атаках.
Также Eclypsium акцентирует внимание на том, что хакеры могут воспользоваться незащищенным соединением между системой и серверами Gigabyte, чтобы подменить полезную нагрузку и реализовать атаку типа man-in-the-middle.
К своему отчету Eclypsium прилагает список более чем 270 моделей материнских плат Gigabyte, затронутых этой проблемой. То есть бэкдор, вероятно, присутствует на миллионах устройств.
Компания сообщает, что она сотрудничает с Gigabyte и работает над решением проблемы (вероятно, это потребует обновление прошивки). Однако официальных комментариев от Gigabyte пока не поступало.
