Zes lekken in U-Boot maken sluipende firmware-aanvallen op embedded apparaten mogelijk

Binarly ontdekte zes kwetsbaarheden in de signatuurverificatie van bootloader U-Boot. Twee ervan maken uitvoering van kwaadaardige code tijdens het opstarten mogelijk.

Onderzoekers van Binarly hebben zes kwetsbaarheden gevonden in U-Boot, de bootloader die op talloze embedded Linux-apparaten draait. De lekken zitten in de code die de digitale handtekening van firmware-images controleert — precies het mechanisme dat moet voorkomen dat een apparaat gemanipuleerde firmware opstart.

Twee van de zes fouten maken het mogelijk om willekeurige code uit te voeren tijdens de firmwareverificatie. De overige vier kunnen een apparaat laten crashen. De onderliggende oorzaken lopen uiteen van geheugencorruptie en out-of-bounds reads tot onbegrensde recursie. Binarly registreerde de vondsten als BRLY-2026-037 tot en met BRLY-2026-042.

De impact is breed: de fouten zitten in meer dan vijftig stabiele U-Boot-releases, teruggaand tot versie 2013.07. Denk aan netwerkapparatuur, industriële systemen, IoT-apparaten en de beheercontrollers (BMC’s) van servers.

Fysieke toegang is niet altijd nodig. Apparaten die firmware-updates op afstand accepteren, zoals BMC’s, kunnen worden aangevallen door iemand die al toegang heeft tot de beheerinterface. Een aanvaller die via deze route malware in de bootketen plant, zit onder het besturingssysteem — vrijwel onzichtbaar voor virusscanners en bestand tegen herinstallatie.

De fixes van Binarly zijn inmiddels opgenomen in de U-Boot-broncode. Daarmee is het probleem echter nog niet de wereld uit: fabrikanten moeten de patches eerst in hun eigen firmware-updates verwerken. Voor oudere of niet meer ondersteunde apparaten komt die update er waarschijnlijk nooit.

Beheerders doen er verstandig aan beheerinterfaces van servers en netwerkapparatuur strikt af te schermen van het gewone netwerk, en firmware-updates van fabrikanten de komende maanden in de gaten te houden.

Bron: BleepingComputer

📬

Wekelijkse security-update in je inbox

Elke week de belangrijkste dreigingen, kwetsbaarheden en tips — gratis, geen spam.

Bij 2.400+ security-professionals. Afmelden kan altijd.