Mewn datguddiad diweddar, mae datblygwyr shim, elfen ganolog sy'n gwasanaethu fel y cychwynnydd cam cyntaf ar systemau UEFI, wedi datgelu diffyg diogelwch critigol yn eu fersiwn diweddaraf, 15.8. Wedi'i olrhain fel CVE-2023-40547, mae gan y bregusrwydd hwn sgôr CVSS o 9.8, sy'n fygythiad sylweddol i ddiogelwch dosbarthiadau Linux mawr. Wedi'i ddarganfod a'i adrodd gan Bill Demirkapi o Ganolfan Ymateb Diogelwch Microsoft (MSRC), mae'r diffyg yn cyflwyno'r potensial ar gyfer gweithredu cod o bell a ffordd osgoi Secure Boot. Mae'r bregusrwydd hwn, sy'n bresennol ym mhob cychwynnwr Linux a lofnodwyd yn ystod y degawd diwethaf, wedi codi pryderon ynghylch ei effaith eang.
Manylion CVE-2023-40547
Mae'r bregusrwydd critigol i'w weld yng nghefnogaeth http boot shim a daeth Alan Coopersmith o Oracle i'r amlwg. Mae'r diffyg hwn yn agor y drws i ysgrifennu cyntefig rheoledig wrth brosesu ymatebion HTTP. Yn ei hanfod, gall arwain at ffordd osgoi Secure Boot, a allai ganiatáu i wrthwynebwyr weithredu cod o bell a chyfaddawdu'r system gyfan. Tynnodd Eclypsium, cwmni diogelwch cadarnwedd, sylw at darddiad y bregusrwydd wrth drin protocol HTTP, gan arwain at ysgrifennu allan-o-derfynol a allai arwain at gyfaddawd system gyflawn.
Mewn senario ecsbloetio damcaniaethol, gallai ymosodwyr drosoli'r diffyg hwn i lwytho cychwynnydd shim dan fygythiad, gan hwyluso ymosodiadau Man-in-the-Middle (MiTM) ar y rhwydwaith. Mae difrifoldeb y bregusrwydd hwn yn cael ei danlinellu gan y ffaith ei fod yn rhychwantu pob cychwynnwr Linux a lofnodwyd yn ystod y degawd diwethaf, gan nodi effaith bosibl sylweddol ar ystod eang o systemau.
Gwendidau Shim Ychwanegol
Mae fersiwn Shim 15.8 nid yn unig yn mynd i'r afael â CVE-2023-40547 ond hefyd yn unioni pum bregusrwydd ychwanegol, pob un â'i set ei hun o ganlyniadau posibl. Mae'r gwendidau hyn yn cynnwys darllen ac ysgrifennu y tu allan i ffiniau, gorlifoedd byffer, a materion sy'n ymwneud â thrin gwybodaeth ddilysod a Thargedu Uwch Boot Diogel (SBAT).
Ymatebion Ar Unwaith o Ddosbarthiadau Linux Mawr
Gan gydnabod difrifoldeb y sefyllfa, mae dosbarthiadau Linux mawr fel Debian, Red Hat, SUSE, a Ubuntu wedi rhyddhau cynghorion yn brydlon ynghylch y diffygion diogelwch hyn. Anogir defnyddwyr yn gryf i ddiweddaru eu systemau i'r fersiwn shim ddiweddaraf i liniaru risgiau posibl sy'n gysylltiedig â'r gwendidau hyn.
Canfod a Bygythiadau Tebyg
Nid yw enwau canfod ar gyfer y malware sy'n ecsbloetio'r gwendidau hyn wedi'u datgelu'n eang eto. Fodd bynnag, o ystyried natur bregusrwydd Shim RCE, mae arbenigwyr diogelwch yn argymell monitro traffig rhwydwaith ar gyfer ceisiadau HTTP a llwythi tâl amheus. Gall bygythiadau tebyg sy'n manteisio ar wendidau cychwynnydd gynnwys ymosodiadau ar y firmware, UEFI, neu gydrannau hanfodol eraill y broses gychwyn.
Canllaw Tynnu
Oherwydd natur y gwendidau yr ymdrinnir â hwy yn fersiwn shim 15.8, mae canllaw dileu cynhwysfawr yn hanfodol. Dilynwch y camau hyn i sicrhau bod unrhyw fygythiadau posibl yn cael eu dileu yn llwyr:
- Diweddaru Shim: Diweddarwch y gydran shim ar unwaith i fersiwn 15.8 neu'n ddiweddarach gan ddefnyddio'r ystorfeydd swyddogol ar gyfer eich dosbarthiad Linux.
- Gwirio Uniondeb y System: Gwiriwch gyfanrwydd ffeiliau system a chydrannau cychwynnydd gan ddefnyddio offer a ddarperir gan eich dosbarthiad Linux.
- Monitro Rhwydwaith: Monitro traffig rhwydwaith ar gyfer unrhyw geisiadau HTTP amheus neu lwythi tâl a allai ddangos ymosodiad parhaus.
- Cymhwyso Clytiau Diogelwch: Gwiriwch a defnyddiwch y clytiau diogelwch a ddarperir gan eich dosbarthiad Linux yn rheolaidd i sicrhau amddiffyniad parhaus.
Arferion Gorau ar gyfer Atal
Er mwyn atal heintiau yn y dyfodol a gwella ystum diogelwch cyffredinol eich system, ystyriwch yr arferion gorau canlynol:
- Diweddariadau Rheolaidd: Sicrhewch fod eich system weithredu, cychwynnydd, a'r holl feddalwedd sydd wedi'i gosod yn gyfredol gyda'r clytiau diogelwch diweddaraf.
- Segmentu Rhwydwaith: Gweithredu segmentiad rhwydwaith i gyfyngu ar effaith ymosodiadau posibl ac atal symudiad ochrol o fewn y rhwydwaith.
- Addysg Defnyddwyr: Addysgu defnyddwyr am bwysigrwydd osgoi dolenni, atodiadau a gwefannau amheus i leihau'r risg o ddioddef ymosodiadau peirianneg gymdeithasol.
- Diogelwch cadarnwedd: Diweddaru a diogelu cydrannau cadarnwedd yn rheolaidd i fynd i'r afael â gwendidau posibl yn y caledwedd sylfaenol.
Casgliad
Mae bregusrwydd Shim RCE yn fygythiad sylweddol i ddiogelwch systemau Linux, ac mae ei effaith bosibl ar ystod eang o systemau yn gofyn am weithredu ar unwaith. Trwy ddilyn y canllaw symud a ddarperir a gweithredu arferion gorau ar gyfer atal, gall defnyddwyr atgyfnerthu eu systemau yn erbyn y bygythiad seiber critigol hwn a chynnal ystum amddiffyn gwydn yn wyneb heriau diogelwch esblygol.