En una revelació recent, els desenvolupadors de shim, un component fonamental que serveix com a carregador d'arrencada de la primera etapa als sistemes UEFI, han revelat una fallada de seguretat crítica a la seva darrera versió, 15.8. Seguida com a CVE-2023-40547, aquesta vulnerabilitat té una puntuació CVSS de 9.8, cosa que suposa una amenaça important per a la seguretat de les principals distribucions de Linux. Descobert i informat per Bill Demirkapi del Centre de resposta de seguretat de Microsoft (MSRC), el defecte introdueix el potencial d'execució de codi remota i una derivació d'arrencada segura. Aquesta vulnerabilitat, present a tots els carregadors d'arrencada de Linux signats durant l'última dècada, ha generat preocupacions pel seu impacte generalitzat.
Dades del CVE-2023-40547
La vulnerabilitat crítica resideix en el suport d'arrencada http de shim i va ser revelada per Alan Coopersmith d'Oracle. Aquest defecte obre la porta a una escriptura primitiva controlada fora dels límits quan es processen les respostes HTTP. En essència, pot conduir a un bypass d'arrencada segur, que pot permetre als adversaris executar codi remot i comprometre tot el sistema. Eclypsium, una empresa de seguretat de microprogramari, va destacar l'origen de la vulnerabilitat en el maneig del protocol HTTP, la qual cosa va provocar una escriptura fora de límits que podria provocar un compromís complet del sistema.
En un escenari d'explotació hipotètic, els atacants podrien aprofitar aquest defecte per carregar un carregador d'arrencada shim compromès, facilitant els atacs Man-in-the-Middle (MiTM) a la xarxa. La gravetat d'aquesta vulnerabilitat es subratlla pel fet que s'estén a tots els carregadors d'arrencada de Linux signats durant l'última dècada, cosa que significa un impacte potencial important en una àmplia gamma de sistemes.
Vulnerabilitats addicionals de Shim
La versió 15.8 de Shim no només aborda CVE-2023-40547, sinó que també rectifica cinc vulnerabilitats addicionals, cadascuna amb el seu propi conjunt de conseqüències potencials. Aquestes vulnerabilitats inclouen lectures i escriptures fora de límits, desbordaments de memòria intermèdia i problemes relacionats amb el maneig de l'authenticode i la informació de Secure Boot Advanced Targeting (SBAT).
Respostes immediates de les principals distribucions de Linux
Reconeixent la gravetat de la situació, les principals distribucions de Linux com Debian, Red Hat, SUSE i Ubuntu han publicat ràpidament avisos sobre aquests errors de seguretat. Es demana als usuaris que actualitzin els seus sistemes a la darrera versió shim per mitigar els riscos potencials associats a aquestes vulnerabilitats.
Detecció i amenaces similars
Els noms de detecció del programari maliciós que explota aquestes vulnerabilitats encara no s'han divulgat àmpliament. Tanmateix, donada la naturalesa de la vulnerabilitat de Shim RCE, els experts en seguretat recomanen controlar el trànsit de xarxa per a les sol·licituds HTTP i les càrregues útils sospitoses. Amenaces similars que exploten les vulnerabilitats del carregador d'arrencada poden incloure atacs al microprogramari, UEFI o altres components crítics del procés d'arrencada.
Guia d’eliminació
A causa de la naturalesa de les vulnerabilitats abordades a la versió 15.8 de shim, és essencial una guia d'eliminació completa. Seguiu aquests passos per garantir l'eliminació completa de qualsevol amenaça potencial:
- Actualitza Shim: Actualitzeu immediatament el component shim a la versió 15.8 o posterior utilitzant els dipòsits oficials de la vostra distribució de Linux.
- Comproveu la integritat del sistema: Verifiqueu la integritat dels fitxers del sistema i dels components del carregador d'arrencada mitjançant eines proporcionades per la vostra distribució de Linux.
- Monitorització de xarxa: Superviseu el trànsit de xarxa per detectar qualsevol sol·licitud HTTP o càrrega útil sospitosa que pugui indicar un atac en curs.
- Aplicar pedaços de seguretat: Comproveu i apliqueu periòdicament els pegats de seguretat proporcionats per la vostra distribució de Linux per garantir una protecció contínua.
Bones pràctiques per a la prevenció
Per prevenir futures infeccions i millorar la postura general de seguretat del vostre sistema, tingueu en compte les pràctiques recomanades següents:
- Actualitzacions periòdiques: Manteniu el vostre sistema operatiu, el carregador d'arrencada i tot el programari instal·lat actualitzat amb els darrers pedaços de seguretat.
- Segmentació de la xarxa: Implementar la segmentació de la xarxa per limitar l'impacte d'atacs potencials i evitar el moviment lateral dins de la xarxa.
- Educació de l'usuari: Eduqueu els usuaris sobre la importància d'evitar enllaços, fitxers adjunts i llocs web sospitosos per reduir el risc de ser víctimes d'atacs d'enginyeria social.
- Seguretat del firmware: Actualitzeu i assegureu regularment els components del microprogramari per abordar les vulnerabilitats potencials del maquinari subjacent.
Conclusió
La vulnerabilitat Shim RCE suposa una amenaça important per a la seguretat dels sistemes Linux, i el seu impacte potencial en una àmplia gamma de sistemes requereix una acció immediata. Seguint la guia d'eliminació proporcionada i implementant les millors pràctiques per a la prevenció, els usuaris poden reforçar els seus sistemes contra aquesta amenaça cibernètica crítica i mantenir una postura de defensa resistent davant dels reptes de seguretat en evolució.