Enam Celah U-Boot Berpotensi Memungkinkan Serangan Firmware yang Sulit Dideteksi

Peneliti keamanan siber mengungkap enam kerentanan pada U-Boot, bootloader open source yang banyak digunakan di berbagai perangkat embedded Linux. Celah keamanan ini berpotensi dimanfaatkan penyerang untuk menjalankan kode berbahaya sejak proses booting dimulai, membuka peluang terjadinya serangan firmware yang sulit dideteksi serta pemasangan malware persisten.
Temuan tersebut dipublikasikan oleh perusahaan keamanan firmware Binarly, yang menyatakan bahwa dua dari enam kerentanan memungkinkan remote code execution (RCE), sementara empat lainnya dapat menyebabkan perangkat mengalami crash saat proses boot.
Menargetkan Bootloader yang Digunakan Secara Luas
U-Boot merupakan salah satu bootloader open source paling populer di dunia dan digunakan pada berbagai jenis perangkat, seperti:
- Baseboard Management Controller (BMC) pada server enterprise
- Perangkat jaringan
- Sistem industri
- Perangkat Internet of Things (IoT)
- Berbagai appliance berbasis Linux
Karena bertugas memuat sistem operasi saat perangkat dinyalakan, kelemahan pada U-Boot dapat dimanfaatkan sebelum sistem operasi maupun perangkat lunak keamanan mulai berjalan.
Fitur Verified Boot Menjadi Target
Salah satu mekanisme keamanan U-Boot adalah Verified Boot, yang memverifikasi tanda tangan digital (cryptographic signature) dari firmware maupun image sistem operasi sebelum dijalankan.
Menurut Binarly, enam kerentanan ditemukan pada mekanisme FIT (Flattened Image Tree) signature verification, yaitu komponen yang bertugas memvalidasi firmware sebelum proses boot dilanjutkan.
Jika proses verifikasi ini berhasil dieksploitasi, penyerang dapat menjalankan kode berbahaya bahkan sebelum sistem operasi aktif.
Enam Kerentanan yang Ditemukan
Binarly mengidentifikasi enam kelemahan berikut:
- BRLY-2026-037 – Dapat menyebabkan U-Boot crash saat memproses firmware berbahaya dan, dalam kondisi tertentu, memungkinkan eksekusi kode.
- BRLY-2026-038 – Kerusakan memori (memory corruption) yang dapat dimanfaatkan untuk menjalankan kode arbitrer selama proses verifikasi firmware.
- BRLY-2026-039 – Out-of-bounds read yang memaksa U-Boot membaca data di luar batas image firmware sehingga menyebabkan crash.
- BRLY-2026-040 – Null pointer dereference yang memungkinkan firmware berbahaya menghentikan proses boot.
- BRLY-2026-041 – Validasi data firmware eksternal yang tidak memadai sehingga perangkat dapat crash ketika memproses image berbahaya.
- BRLY-2026-042 – Rekursi tanpa batas yang menghabiskan memori stack hingga bootloader gagal dijalankan.
Berpotensi Berdampak pada Puluhan Versi U-Boot
Menurut Binarly, sebagian besar kode yang rentan telah ada sejak U-Boot versi 2013.07.
Artinya, lebih dari 50 rilis stabil U-Boot berpotensi terdampak, termasuk berbagai versi yang telah dimodifikasi oleh vendor perangkat keras untuk firmware mereka masing-masing.
Luasnya penggunaan U-Boot membuat dampak kerentanan ini diperkirakan cukup signifikan di berbagai sektor industri.
Dapat Memasang Malware Firmware yang Persisten
Apabila kerentanan remote code execution berhasil dieksploitasi, penyerang dapat:
- Menjalankan kode sebelum sistem operasi dimuat.
- Menonaktifkan fitur keamanan firmware.
- Memodifikasi proses boot.
- Memasang malware firmware yang bertahan meskipun sistem operasi diinstal ulang.
- Mendapatkan hak akses tingkat sangat tinggi.
Karena serangan terjadi sebelum sistem operasi aktif, aktivitas tersebut juga jauh lebih sulit dideteksi oleh solusi keamanan konvensional.
Tidak Selalu Memerlukan Akses Fisik
Binarly menegaskan bahwa eksploitasi tidak selalu membutuhkan akses langsung ke perangkat.
Pada sistem seperti Baseboard Management Controller (BMC) yang mendukung pembaruan firmware jarak jauh, penyerang yang telah berhasil mengompromikan antarmuka manajemen dapat mengunggah firmware berbahaya untuk memanfaatkan kerentanan tersebut.
Patch Sudah Tersedia, Namun Distribusi Bergantung Vendor
Seluruh enam kerentanan telah dilaporkan kepada tim pengembang U-Boot, dan patch untuk masing-masing masalah telah diterima ke dalam kode sumber utama (upstream).
Namun, karena U-Boot biasanya diintegrasikan ke firmware oleh masing-masing produsen perangkat, pengguna baru akan memperoleh perlindungan setelah vendor merilis pembaruan firmware resmi.
Perangkat yang sudah tidak lagi mendapatkan dukungan atau pembaruan firmware kemungkinan tidak akan pernah menerima perbaikan terhadap kerentanan ini.
Administrator disarankan untuk terus memantau pembaruan firmware dari vendor perangkat yang digunakan dan segera menerapkannya ketika tersedia, terutama pada server, perangkat jaringan, maupun sistem industri yang menggunakan U-Boot sebagai bootloader.
Sumber: Binarly








