Seis vulnerabilidades en U-Boot podrían comprometer dispositivos críticos

Publicado el

Seis nuevas vulnerabilidades en U-Boot

Investigadores de la empresa de seguridad de firmware Binarly han descubierto seis nuevas vulnerabilidades en U-Boot, el software que inicia diversos dispositivos como routers, cámaras inteligentes y chips de gestión en servidores de centros de datos. De estas, cuatro pueden provocar fallos en el dispositivo, mientras que dos permiten a un atacante ejecutar código malicioso si logra manipular la imagen que se presenta al cargador de arranque antes de que este verifique la autenticidad del software.

U-Boot tiene la capacidad de agrupar un núcleo, un árbol de dispositivos, un ramdisk y otros componentes de arranque en un solo paquete conocido como FIT (Flattened Image Tree). Este proceso incluye la verificación de la firma digital del paquete antes de ceder el control, lo que hace que cualquier vulnerabilidad en este aspecto pueda comprometer todo lo que se carga posteriormente.

Detalles de las vulnerabilidades

Las vulnerabilidades están clasificadas como BRLY-2026-037 a BRLY-2026-042. Hasta el momento, no se les han asignado identificadores CVE. Las dos que permiten la ejecución de código son BRLY-2026-037 y BRLY-2026-038, y ambas están relacionadas con un valor no verificado. En concreto, U-Boot realiza una consulta en la biblioteca de análisis del árbol de dispositivos mediante la función fdt_get_name. Cuando se presenta una imagen malformada, esta consulta devuelve un puntero nulo y una longitud negativa, que U-Boot utiliza sin realizar las comprobaciones necesarias. Esto puede dar lugar a un desbordamiento de búfer o a la sobrescritura de una dirección de retorno, permitiendo así que el código proporcionado por el atacante se ejecute.

Los otros cuatro errores, BRLY-2026-039, BRLY-2026-040, BRLY-2026-041 y BRLY-2026-042, se limitan a provocar el bloqueo del cargador de arranque. Por ejemplo, los primeros dos leen más allá del final de la imagen confiando en un tamaño o un desplazamiento controlado por el atacante, mientras que el tercero desreferencia un puntero nulo. El cuarto provoca un agotamiento de la pila debido a una imagen profundamente anidada que llama repetidamente a una verificación temprana hasta que se queda sin recursos.

Impacto y riesgos

Aunque no se han reportado casos de explotación en ataques reales, los errores de corrupción de memoria son los más críticos. Un simple bloqueo puede desconectar un dispositivo, pero la posibilidad de ejecución de código durante el arranque puede subvertir toda la cadena de confianza del sistema. En el peor de los casos, recuperar un dispositivo que no arranca puede requerir acceso físico y la regrabación de su chip de memoria con una imagen limpia. La ejecución de código en esta etapa es aún más problemática, ya que se sitúa por debajo del sistema operativo, lo que dificulta la detección por parte de las herramientas de seguridad convencionales.

El principal desafío para los atacantes es la entrega del código malicioso, ya que estas vulnerabilidades solo se activan cuando una imagen manipulada llega a la ruta de arranque, lo que generalmente requiere acceso físico o un acceso privilegiado. Sin embargo, en investigaciones anteriores, como en los controladores de gestión de servidores de Supermicro, se demostró que un atacante podría abusar del proceso de actualización del dispositivo de forma remota.

Recomendaciones

Actualmente, no existe una versión estable que solucione estas vulnerabilidades, por lo que se aconseja a los fabricantes y mantenedores de productos basados en U-Boot que apliquen los parches disponibles de inmediato. Binarly ha publicado los pasos de reproducción y una imagen de prueba para cada vulnerabilidad, y aunque U-Boot ha incorporado los parches en junio, la versión de julio (v2026.07) se congeló en abril, por lo que se lanzó sin ellos. La siguiente versión, v2026.10, no estará disponible hasta octubre.

Todos los demás usuarios que utilicen dispositivos construidos sobre U-Boot deberán esperar actualizaciones de firmware de sus respectivos proveedores. Es crucial estar atento a estas actualizaciones, dado que el mismo tipo de lógica de firma ha fallado anteriormente, lo que pone de manifiesto la necesidad de una vigilancia constante en la seguridad del proceso de arranque.

Fuente

Ver noticia original