בחשיפה לאחרונה, מפתחי shim, רכיב מרכזי המשמש כמטעין האתחול בשלב הראשון במערכות UEFI, חשפו פגם אבטחה קריטי בגרסה האחרונה שלהם, 15.8. פגיעות זו, במעקב כ-CVE-2023-40547, נושאת ציון CVSS של 9.8, המהווה איום משמעותי על האבטחה של הפצות לינוקס גדולות. התגלה ודווח על ידי ביל Demirkapi ממרכז התגובה האבטחה של מיקרוסופט (MSRC), הפגם מציג את הפוטנציאל לביצוע קוד מרחוק ומעקף אתחול מאובטח. פגיעות זו, הקיימת בכל מטעין אתחול לינוקס שנחתם בעשור האחרון, עוררה חששות לגבי השפעתה הנרחבת.
פרטים של CVE-2023-40547
הפגיעות הקריטית נמצאת בתמיכת http האתחול של shim והוכרה על ידי אלן קופרסמית' מ-Oracle. פגם זה פותח את הדלת לכתיבה פרימיטיבית מבוקר מחוץ לתחום בעת עיבוד תגובות HTTP. למעשה, זה יכול להוביל למעקף אתחול מאובטח, שעלול לאפשר ליריבים לבצע קוד מרחוק ולסכן את המערכת כולה. Eclypsium, חברת אבטחת קושחה, הדגישה את מקור הפגיעות בטיפול בפרוטוקול HTTP, מה שהוביל לכתיבה מחוץ לתחום שעלולה לגרום לפגיעה מלאה במערכת.
בתרחיש ניצול היפותטי, תוקפים יכולים למנף את הפגם הזה כדי לטעון טוען אתחול shim שנפגע, מה שמקל על התקפות Man-in-the-Middle (MiTM) ברשת. חומרת הפגיעות הזו מודגשת על ידי העובדה שהיא משתרעת על פני כל טוען אתחול לינוקס שנחתם בעשור האחרון, מה שמסמל השפעה פוטנציאלית משמעותית על מגוון רחב של מערכות.
פגיעות Shim נוספות
גרסה 15.8 של Shim לא רק מתייחסת ל-CVE-2023-40547 אלא גם מתקנת חמש פגיעויות נוספות, שלכל אחת מהן קבוצת השלכות פוטנציאלית משלה. פגיעויות אלו כוללות קריאה וכתיבה מחוץ לתחום, הצפת מאגר ובעיות הקשורות לטיפול בקוד אותנטי ובמידע של Secure Boot Advanced Targeting (SBAT).
תגובות מיידיות מההפצות הגדולות של לינוקס
מתוך זיהוי חומרת המצב, הפצות לינוקס גדולות כמו דביאן, רד האט, SUSE ואובונטו פרסמו מייד עצות בנוגע לפגמי האבטחה הללו. מומלץ מאוד למשתמשים לעדכן את המערכות שלהם לגרסת ה-shim העדכנית ביותר כדי להפחית סיכונים פוטנציאליים הקשורים לפגיעויות אלו.
איתור ואיומים דומים
שמות זיהוי של תוכנות זדוניות המנצלות את הפגיעויות הללו עדיין לא נחשפו בהרחבה. עם זאת, בהתחשב באופי הפגיעות של Shim RCE, מומחי אבטחה ממליצים לעקוב אחר תעבורת הרשת עבור בקשות HTTP חשודות ועומסים. איומים דומים המנצלים פגיעויות של טוען האתחול עשויים לכלול התקפות על הקושחה, UEFI או רכיבים קריטיים אחרים בתהליך האתחול.
מדריך הסרה
בשל אופי הפגיעויות המטופלות בגירסת shim 15.8, מדריך הסרה מקיף הוא חיוני. בצע את השלבים הבאים כדי להבטיח הסרה מלאה של כל איומים פוטנציאליים:
- עדכון שים: עדכן מיד את רכיב ה-shim לגרסה 15.8 ואילך באמצעות המאגרים הרשמיים להפצת הלינוקס שלך.
- בדוק את תקינות המערכת: ודא את תקינותם של קבצי המערכת ורכיבי טוען האתחול באמצעות כלים המסופקים על ידי הפצת לינוקס שלך.
- ניטור רשתות: עקוב אחר תעבורת הרשת עבור כל בקשות HTTP או עומסי HTTP חשודים שעלולים להצביע על מתקפה מתמשכת.
- החל תיקוני אבטחה: בדוק באופן קבוע והחל תיקוני אבטחה המסופקים על ידי הפצת לינוקס שלך כדי להבטיח הגנה מתמשכת.
שיטות עבודה מומלצות למניעה
כדי למנוע זיהומים עתידיים ולשפר את מצב האבטחה הכולל של המערכת שלך, שקול את השיטות המומלצות הבאות:
- עדכונים שוטפים: שמרו על עדכניות מערכת ההפעלה, טוען האתחול וכל התוכנות המותקנות עם תיקוני האבטחה העדכניים ביותר.
- פילוח רשת: הטמע פילוח רשת כדי להגביל את ההשפעה של התקפות פוטנציאליות ולמנוע תנועה צידית בתוך הרשת.
- השכלת משתמש: למד את המשתמשים על החשיבות של הימנעות מקישורים, קבצים מצורפים ואתרי אינטרנט חשודים כדי להפחית את הסיכון ליפול קורבן להתקפות הנדסה חברתית.
- אבטחת קושחה: עדכן באופן קבוע ואבטח את רכיבי הקושחה כדי לטפל בפגיעויות פוטנציאליות בחומרה הבסיסית.
סיכום
פגיעות Shim RCE מהווה איום משמעותי על אבטחת מערכות לינוקס, והשפעתה הפוטנציאלית על מגוון רחב של מערכות מחייבת פעולה מיידית. על ידי ביצוע מדריך ההסרה שסופק ויישום שיטות עבודה מומלצות למניעה, המשתמשים יכולים לחזק את המערכות שלהם נגד איום סייבר קריטי זה ולשמור על עמדת הגנה עמידה מול אתגרי אבטחה מתפתחים.