У нядаўнім адкрыцці распрацоўшчыкі shim, ключавога кампанента, які служыць загрузнікам першай ступені ў сістэмах UEFI, раскрылі крытычны недахоп бяспекі ў сваёй апошняй версіі 15.8. Адсочваецца як CVE-2023-40547, гэтая ўразлівасць мае ацэнку CVSS 9.8, што ўяўляе значную пагрозу для бяспекі асноўных дыстрыбутываў Linux. Выяўленая і пра якую паведаміў Біл Дэміркапі з Цэнтра рэагавання на бяспеку Microsoft (MSRC), хіба ўводзіць патэнцыял для дыстанцыйнага выканання кода і абыходу бяспечнай загрузкі. Гэтая ўразлівасць, прысутная ў кожным загрузніку Linux, падпісаным за апошняе дзесяцігоддзе, выклікала занепакоенасць яе шырокім уздзеяннем.
Падрабязнасці CVE-2023-40547
Крытычная ўразлівасць знаходзіцца ў падтрымцы загрузкі http shim і была выяўлена Аланам Куперсмітам з Oracle. Гэты недахоп адкрывае дзверы для кантраляванага па-за межамі запісу пры апрацоўцы адказаў HTTP. Па сутнасці, гэта можа прывесці да абыходу бяспечнай загрузкі, патэнцыйна дазваляючы праціўнікам выконваць аддалены код і скампраметаваць усю сістэму. Eclypsium, фірма па бяспецы прашыўкі, падкрэсліла паходжанне ўразлівасці ў апрацоўцы пратакола HTTP, якая вядзе да запісу па-за межамі, што можа прывесці да поўнага ўзлому сістэмы.
У гіпатэтычным сцэнары выкарыстання зламыснікі могуць выкарыстоўваць гэты недахоп для загрузкі скампраметаванага загрузчыка shim, спрыяючы атакам чалавека пасярэдзіне (MiTM) у сетцы. Сур'ёзнасць гэтай уразлівасці падкрэсліваецца тым фактам, што яна ахоплівае кожны загрузнік Linux, падпісаны за апошняе дзесяцігоддзе, што азначае значны патэнцыйны ўплыў на шырокі спектр сістэм.
Дадатковыя ўразлівасці Shim
Shim версіі 15.8 не толькі ліквідуе CVE-2023-40547, але і выпраўляе пяць дадатковых уразлівасцей, кожная з якіх мае ўласны набор патэнцыйных наступстваў. Гэтыя ўразлівасці ўключаюць чытанне і запіс па-за межамі, перапаўненне буфера і праблемы, звязаныя з апрацоўкай аўтэнтыкода і інфармацыі Secure Boot Advanced Targeting (SBAT).
Імгненныя адказы ад асноўных дыстрыбутываў Linux
Усведамляючы сур'ёзнасць сітуацыі, асноўныя дыстрыбутывы Linux, такія як Debian, Red Hat, SUSE і Ubuntu, неадкладна апублікавалі рэкамендацыі адносна гэтых недахопаў бяспекі. Карыстальнікам настойліва рэкамендуецца абнавіць свае сістэмы да апошняй версіі акладкі, каб знізіць магчымыя рызыкі, звязаныя з гэтымі ўразлівасцямі.
Выяўленне і падобныя пагрозы
Назвы выяўлення шкоднасных праграм, якія выкарыстоўваюць гэтыя ўразлівасці, яшчэ не раскрыты. Аднак, улічваючы прыроду ўразлівасці Shim RCE, эксперты па бяспецы рэкамендуюць кантраляваць сеткавы трафік на наяўнасць падазроных HTTP-запытаў і карысных нагрузак. Падобныя пагрозы, якія выкарыстоўваюць уразлівасці загрузчыка, могуць уключаць атакі на ўбудаванае праграмнае забеспячэнне, UEFI або іншыя важныя кампаненты працэсу загрузкі.
Кіраўніцтва па выдаленні
З-за характару ўразлівасцяў, улічаных у версіі 15.8 shim, неабходна падрабязнае кіраўніцтва па выдаленні. Выканайце наступныя дзеянні, каб гарантаваць поўнае выдаленне любых патэнцыйных пагроз:
- Абнавіць Shim: Неадкладна абнавіце кампанент shim да версіі 15.8 або больш позняй, выкарыстоўваючы афіцыйныя рэпазітары для вашага дыстрыбутыва Linux.
- Праверце цэласнасць сістэмы: Праверце цэласнасць сістэмных файлаў і кампанентаў загрузніка з дапамогай інструментаў, прадстаўленых вашым дыстрыбутывам Linux.
- Маніторынг сеткі: Кантралюйце сеткавы трафік на наяўнасць любых падазроных HTTP-запытаў або карысных нагрузак, якія могуць сведчыць аб бягучай атацы.
- Ужыць патчы бяспекі: Рэгулярна правярайце і ўжывайце патчы бяспекі, прадстаўленыя вашым дыстрыбутывам Linux, каб забяспечыць пастаянную абарону.
Лепшыя практыкі для прафілактыкі
Каб прадухіліць заражэнне ў будучыні і павысіць агульны ўзровень бяспекі вашай сістэмы, разгледзьце наступныя найлепшыя практыкі:
- Рэгулярныя абнаўленні: Падтрымлівайце сваю аперацыйную сістэму, загрузнік і ўсё ўсталяванае праграмнае забеспячэнне ў актуальным стане з дапамогай апошніх патчаў бяспекі.
- Сегментацыя сеткі: Рэалізуйце сегментацыю сеткі, каб абмежаваць уплыў патэнцыйных нападаў і прадухіліць бакавое перамяшчэнне ўнутры сеткі.
- Адукацыя карыстальнікаў: Навучыце карыстальнікаў важнасці пазбягання падазроных спасылак, укладанняў і вэб-сайтаў, каб знізіць рызыку стаць ахвярай нападаў сацыяльнай інжынерыі.
- Бяспека прашыўкі: Рэгулярна абнаўляйце і абараняйце кампаненты ўбудаванага праграмнага забеспячэння, каб ліквідаваць патэнцыйныя ўразлівасці ў базавым абсталяванні.
заключэнне
Уразлівасць Shim RCE стварае значную пагрозу бяспецы сістэм Linux, і яе магчымы ўплыў на шырокі спектр сістэм патрабуе неадкладных дзеянняў. Прытрымліваючыся прадстаўленага кіраўніцтва па выдаленні і ўкараняючы лепшыя практыкі прафілактыкі, карыстальнікі могуць умацаваць свае сістэмы супраць гэтай крытычнай кіберпагрозы і падтрымліваць устойлівую абарону перад тварам новых праблем бяспекі.