في الكشف الأخير، كشف مطورو shim، وهو مكون محوري يعمل كمحمل تمهيد للمرحلة الأولى على أنظمة UEFI، عن ثغرة أمنية خطيرة في أحدث إصدار لهم، 15.8. تحمل هذه الثغرة الأمنية، التي تحمل الاسم CVE-2023-40547، درجة CVSS تبلغ 9.8، مما يشكل تهديدًا كبيرًا لأمن توزيعات Linux الرئيسية. اكتشف بيل ديميركابي من مركز الاستجابة الأمنية لـ Microsoft (MSRC) وأبلغ عنه، ويقدم الخلل إمكانية تنفيذ التعليمات البرمجية عن بعد وتجاوز التمهيد الآمن. وقد أثارت هذه الثغرة الأمنية، الموجودة في كل أداة تحميل تمهيد Linux تم توقيعها خلال العقد الماضي، مخاوف بشأن تأثيرها الواسع النطاق.
تفاصيل CVE-2023-40547
تكمن الثغرة الحرجة في دعم التمهيد http الخاص بـ shim وقد تم تسليط الضوء عليها بواسطة آلان كوبرسميث من Oracle. يفتح هذا الخلل الباب أمام الكتابة البدائية الخاضعة للرقابة خارج الحدود عند معالجة استجابات HTTP. في جوهره، يمكن أن يؤدي ذلك إلى تجاوز التمهيد الآمن، مما قد يسمح للخصوم بتنفيذ تعليمات برمجية عن بعد وتهديد النظام بأكمله. سلطت شركة Eclypsium، وهي شركة أمنية للبرامج الثابتة، الضوء على أصل الثغرة الأمنية في معالجة بروتوكول HTTP، مما أدى إلى كتابة خارج الحدود قد يؤدي إلى اختراق النظام بالكامل.
في سيناريو استغلال افتراضي، يمكن للمهاجمين الاستفادة من هذا الخلل لتحميل أداة تحميل تمهيد مخترقة، مما يسهل هجمات Man-in-the-Middle (MiTM) على الشبكة. يتم التأكيد على خطورة هذه الثغرة الأمنية من خلال حقيقة أنها تمتد عبر كل أداة تحميل تشغيل Linux تم توقيعها في العقد الماضي، مما يدل على تأثير محتمل كبير على مجموعة واسعة من الأنظمة.
نقاط الضعف الإضافية في الرقائق
لا يعالج الإصدار 15.8 من Shim CVE-2023-40547 فحسب، بل يصحح أيضًا خمس نقاط ضعف إضافية، ولكل منها مجموعة خاصة بها من العواقب المحتملة. تتضمن هذه الثغرات الأمنية عمليات القراءة والكتابة خارج الحدود، وتجاوزات المخزن المؤقت، والمشكلات المتعلقة بمعالجة معلومات المصادقة ومعلومات الاستهداف المتقدم للتمهيد الآمن (SBAT).
ردود فورية من توزيعات Linux الرئيسية
وإدراكًا لخطورة الموقف، أصدرت توزيعات Linux الرئيسية مثل Debian وRed Hat وSUSE وUbuntu على الفور تحذيرات بشأن هذه العيوب الأمنية. نحث المستخدمين بشدة على تحديث أنظمتهم إلى أحدث إصدار للتخفيف من المخاطر المحتملة المرتبطة بنقاط الضعف هذه.
الكشف والتهديدات المماثلة
لم يتم بعد الكشف عن أسماء اكتشاف البرامج الضارة التي تستغل نقاط الضعف هذه على نطاق واسع. ومع ذلك، ونظرًا لطبيعة ثغرة Shim RCE، يوصي خبراء الأمن بمراقبة حركة مرور الشبكة بحثًا عن طلبات HTTP والحمولات المشبوهة. قد تتضمن التهديدات المماثلة التي تستغل الثغرات الأمنية في أداة تحميل التشغيل هجمات على البرامج الثابتة أو UEFI أو المكونات المهمة الأخرى لعملية التمهيد.
دليل الإزالة
نظرًا لطبيعة الثغرات الأمنية التي تم تناولها في الإصدار 15.8 من الرقائق، يعد وجود دليل إزالة شامل أمرًا ضروريًا. اتبع هذه الخطوات لضمان الإزالة الكاملة لأية تهديدات محتملة:
- تحديث شيم: قم بتحديث مكون الرقائق على الفور إلى الإصدار 15.8 أو الأحدث باستخدام المستودعات الرسمية لتوزيع Linux الخاص بك.
- التحقق من سلامة النظام: تحقق من سلامة ملفات النظام ومكونات أداة تحميل التشغيل باستخدام الأدوات التي توفرها توزيعة Linux لديك.
- شبكة الرصد: راقب حركة مرور الشبكة بحثًا عن أي طلبات أو حمولات HTTP مشبوهة قد تشير إلى وجود هجوم مستمر.
- تطبيق تصحيحات الأمان: تحقق بانتظام من تصحيحات الأمان التي يوفرها توزيع Linux الخاص بك وقم بتطبيقها لضمان الحماية المستمرة.
أفضل الممارسات للوقاية
لمنع الإصابات المستقبلية وتعزيز الوضع الأمني العام لنظامك، خذ في الاعتبار أفضل الممارسات التالية:
- تحديثات منتظمة: حافظ على تحديث نظام التشغيل ومحمل التشغيل وجميع البرامج المثبتة بأحدث تصحيحات الأمان.
- تقسيم الشبكة: تنفيذ تجزئة الشبكة للحد من تأثير الهجمات المحتملة ومنع الحركة الجانبية داخل الشبكة.
- تعليم المستخدم: تثقيف المستخدمين حول أهمية تجنب الروابط والمرفقات ومواقع الويب المشبوهة لتقليل مخاطر الوقوع ضحية لهجمات الهندسة الاجتماعية.
- أمن البرامج الثابتة: قم بتحديث مكونات البرامج الثابتة وتأمينها بانتظام لمعالجة نقاط الضعف المحتملة في الأجهزة الأساسية.
وفي الختام
تشكل ثغرة Shim RCE تهديدًا كبيرًا لأمن أنظمة Linux، ويتطلب تأثيرها المحتمل على مجموعة واسعة من الأنظمة اتخاذ إجراء فوري. من خلال اتباع دليل الإزالة المقدم وتنفيذ أفضل الممارسات للوقاية، يمكن للمستخدمين تحصين أنظمتهم ضد هذا التهديد السيبراني الخطير والحفاظ على وضع دفاعي مرن في مواجهة التحديات الأمنية المتطورة.