U nedavnom otkriću, programeri shima, ključne komponente koja služi kao prvi stupanj pokretanja sustava na UEFI sustavima, otkrili su kritičnu sigurnosnu grešku u svojoj posljednjoj verziji, 15.8. Praćena kao CVE-2023-40547, ova ranjivost ima CVSS ocjenu 9.8, predstavljajući značajnu prijetnju sigurnosti glavnih distribucija Linuxa. Propust koji je otkrio i prijavio Bill Demirkapi iz Microsoft Security Response Center (MSRC), predstavlja potencijal za daljinsko izvršavanje koda i Secure Boot bypass. Ova ranjivost, prisutna u svakom Linux boot loaderu potpisanom u proteklom desetljeću, izazvala je zabrinutost zbog njezinog široko rasprostranjenog utjecaja.
Pojedinosti o CVE-2023-40547
Kritična ranjivost nalazi se u shimovoj podršci za http boot, a otkrio ju je Alan Coopersmith iz Oraclea. Ovaj nedostatak otvara vrata primitivnom kontroliranom pisanju izvan granica prilikom obrade HTTP odgovora. U biti, to može dovesti do zaobilaženja sigurnog pokretanja, potencijalno dopuštajući protivnicima da izvrše udaljeni kod i kompromitiraju cijeli sustav. Eclypsium, tvrtka za sigurnost firmvera, istaknula je porijeklo ranjivosti u rukovanju HTTP protokolom, što je dovelo do pisanja izvan granica koje bi moglo dovesti do potpunog ugrožavanja sustava.
U hipotetskom scenariju iskorištavanja, napadači bi mogli iskoristiti ovu grešku za učitavanje kompromitiranog shim boot loadera, olakšavajući Man-in-the-Middle (MiTM) napade na mrežu. Ozbiljnost ove ranjivosti je naglašena činjenicom da se proteže kroz svaki Linux boot loader potpisan u proteklom desetljeću, označavajući značajan potencijalni utjecaj na širok raspon sustava.
Dodatne ranjivosti Shima
Shim verzija 15.8 ne samo da rješava CVE-2023-40547, već također ispravlja pet dodatnih ranjivosti, svaka sa svojim skupom mogućih posljedica. Ove ranjivosti uključuju čitanje i pisanje izvan granica, prekoračenja međuspremnika i probleme vezane uz rukovanje autentikodom i informacijama Secure Boot Advanced Targeting (SBAT).
Trenutačni odgovori velikih distribucija Linuxa
Prepoznajući ozbiljnost situacije, velike distribucije Linuxa kao što su Debian, Red Hat, SUSE i Ubuntu odmah su objavile savjete u vezi s ovim sigurnosnim nedostacima. Korisnicima se snažno preporučuje da ažuriraju svoje sustave na najnoviju verziju shima kako bi ublažili potencijalne rizike povezane s ovim ranjivostima.
Otkrivanje i slične prijetnje
Imena za otkrivanje zlonamjernog softvera koji iskorištava ove ranjivosti tek treba biti javno objavljena. Međutim, s obzirom na prirodu Shim RCE ranjivosti, sigurnosni stručnjaci preporučuju praćenje mrežnog prometa u potrazi za sumnjivim HTTP zahtjevima i sadržajima. Slične prijetnje koje iskorištavaju ranjivosti pokretačkog programa mogu uključivati napade na firmware, UEFI ili druge kritične komponente procesa pokretanja.
Vodič za uklanjanje
Zbog prirode ranjivosti obrađenih u verziji shima 15.8, opsežan vodič za uklanjanje je neophodan. Slijedite ove korake kako biste osigurali potpuno uklanjanje svih potencijalnih prijetnji:
- Ažurirajte Shim: Odmah ažurirajte shim komponentu na verziju 15.8 ili noviju koristeći službena spremišta za svoju distribuciju Linuxa.
- Provjerite integritet sustava: Provjerite integritet sistemskih datoteka i komponenti pokretačkog programa pomoću alata koje nudi vaša distribucija Linuxa.
- Nadzor mreže: Pratite mrežni promet u potrazi za bilo kakvim sumnjivim HTTP zahtjevima ili sadržajem koji bi mogli ukazivati na napad koji je u tijeku.
- Primijeni sigurnosne zakrpe: Redovito provjeravajte i primijenite sigurnosne zakrpe koje nudi vaša distribucija Linuxa kako biste osigurali stalnu zaštitu.
Najbolje prakse za prevenciju
Kako biste spriječili buduće infekcije i poboljšali cjelokupno sigurnosno stanje vašeg sustava, razmotrite sljedeće najbolje prakse:
- Redovna ažuriranja: Održavajte svoj operativni sustav, pokretački program i sav instalirani softver ažurnim s najnovijim sigurnosnim zakrpama.
- Segmentacija mreže: Implementirajte segmentaciju mreže kako biste ograničili utjecaj potencijalnih napada i spriječili bočno pomicanje unutar mreže.
- Obrazovanje korisnika: Educirajte korisnike o važnosti izbjegavanja sumnjivih poveznica, privitaka i web-mjesta kako biste smanjili rizik da postanu žrtve napada društvenog inženjeringa.
- Sigurnost firmvera: Redovito ažurirajte i osigurajte komponente firmvera kako biste riješili potencijalne ranjivosti u temeljnom hardveru.
Zaključak
Ranjivost Shim RCE predstavlja značajnu prijetnju sigurnosti Linux sustava, a njen potencijalni utjecaj na širok raspon sustava zahtijeva hitnu akciju. Slijedeći priloženi vodič za uklanjanje i implementirajući najbolju praksu za prevenciju, korisnici mogu ojačati svoje sustave protiv ove kritične kibernetičke prijetnje i održati otpornu obrambenu poziciju suočenu sa sve većim sigurnosnim izazovima.