В скорошно разкритие разработчиците на shim, основен компонент, служещ като първостепенно зареждане на UEFI системи, разкриха критичен пропуск в сигурността в последната им версия, 15.8. Проследявана като CVE-2023-40547, тази уязвимост носи CVSS резултат от 9.8, което представлява значителна заплаха за сигурността на основните Linux дистрибуции. Открит и докладван от Бил Демиркапи от Microsoft Security Response Center (MSRC), пропускът въвежда потенциал за отдалечено изпълнение на код и байпас на Secure Boot. Тази уязвимост, присъстваща във всеки Linux boot loader, подписан през последното десетилетие, породи опасения относно широко разпространеното й въздействие.
Подробности за CVE-2023-40547
Критичната уязвимост се крие в поддръжката за http зареждане на shim и беше разкрита от Алън Купърсмит от Oracle. Този недостатък отваря вратата за контролиран примитивен запис извън границите при обработка на HTTP отговори. По същество това може да доведе до байпас на Secure Boot, което потенциално позволява на противниците да изпълнят отдалечен код и да компрометират цялата система. Eclypsium, фирма за сигурност на фърмуера, подчерта произхода на уязвимостта в обработката на HTTP протокола, което води до запис извън границите, което може да доведе до пълен компромет на системата.
В хипотетичен сценарий на експлойт, атакуващите биха могли да използват този пропуск, за да заредят компрометиран shim зареждащ модул, улеснявайки атаките Man-in-the-Middle (MiTM) в мрежата. Сериозността на тази уязвимост се подчертава от факта, че тя обхваща всички зареждащи програми за стартиране на Linux, подписани през последното десетилетие, което означава значително потенциално въздействие върху широка гама от системи.
Допълнителни уязвимости на Shim
Shim версия 15.8 не само адресира CVE-2023-40547, но също така коригира пет допълнителни уязвимости, всяка със собствен набор от потенциални последствия. Тези уязвимости включват четене и запис извън границите, препълване на буфера и проблеми, свързани с обработката на автентикода и информацията за разширено насочване на защитено зареждане (SBAT).
Незабавни отговори от основните Linux дистрибуции
Осъзнавайки сериозността на ситуацията, основните Linux дистрибуции като Debian, Red Hat, SUSE и Ubuntu незабавно пуснаха съвети относно тези пропуски в сигурността. Настоятелно се препоръчва потребителите да актуализират своите системи до най-новата версия на shim, за да намалят потенциалните рискове, свързани с тези уязвимости.
Откриване и подобни заплахи
Имената за откриване на зловреден софтуер, използващ тези уязвимости, все още не са широко разкрити. Въпреки това, като се има предвид естеството на уязвимостта на Shim RCE, експертите по сигурността препоръчват наблюдение на мрежовия трафик за подозрителни HTTP заявки и полезни натоварвания. Подобни заплахи, които използват уязвимостите на буутлоудъра, могат да включват атаки срещу фърмуера, UEFI или други критични компоненти на процеса на зареждане.
Ръководство за премахване
Поради естеството на уязвимостите, разгледани в shim версия 15.8, изчерпателното ръководство за премахване е от съществено значение. Следвайте тези стъпки, за да гарантирате пълното премахване на всички потенциални заплахи:
- Актуализиране на Shim: Незабавно актуализирайте компонента shim до версия 15.8 или по-нова, като използвате официалните хранилища за вашата Linux дистрибуция.
- Проверете целостта на системата: Проверете целостта на системните файлове и компонентите на буутлоудъра, като използвате инструменти, предоставени от вашата Linux дистрибуция.
- Мониторинг на мрежата: Наблюдавайте мрежовия трафик за всякакви подозрителни HTTP заявки или полезни натоварвания, които биха могли да показват текуща атака.
- Прилагане на корекции за сигурност: Редовно проверявайте за и прилагайте корекции за сигурност, предоставени от вашата Linux дистрибуция, за да осигурите постоянна защита.
Най-добри практики за превенция
За да предотвратите бъдещи инфекции и да подобрите цялостната защита на вашата система, вземете под внимание следните най-добри практики:
- Редовни актуализации: Поддържайте вашата операционна система, буутлоудъра и целия инсталиран софтуер актуален с най-новите корекции за сигурност.
- Сегментиране на мрежата: Приложете сегментиране на мрежата, за да ограничите въздействието на потенциални атаки и да предотвратите странично движение в мрежата.
- Образование на потребителите: Обучете потребителите относно важността на избягването на подозрителни връзки, прикачени файлове и уебсайтове, за да се намали рискът да станат жертва на атаки чрез социално инженерство.
- Защита на фърмуера: Редовно актуализирайте и защитавайте компонентите на фърмуера, за да адресирате потенциални уязвимости в основния хардуер.
Заключение
Уязвимостта Shim RCE представлява значителна заплаха за сигурността на Linux системите и нейното потенциално въздействие върху широк набор от системи налага незабавни действия. Следвайки предоставеното ръководство за премахване и прилагайки най-добрите практики за превенция, потребителите могат да укрепят своите системи срещу тази критична кибер заплаха и да поддържат устойчива защитна позиция в лицето на развиващите се предизвикателства пред сигурността.