Neseniai paaiškėjo, kad tarpiklio, pagrindinio komponento, veikiančio kaip pirmos pakopos įkrovos įkroviklis UEFI sistemose, kūrėjai atskleidė kritinę savo naujausios versijos 15.8 saugos trūkumą. Šis pažeidžiamumas, pažymėtas kaip CVE-2023-40547, turi 9.8 CVSS balą, o tai kelia didelę grėsmę pagrindinių Linux platinimų saugumui. Billas Demirkapis iš „Microsoft Security Response Center“ (MSRC) atrado ir pranešė, kad šis trūkumas suteikia galimybę nuotoliniu būdu vykdyti kodą ir saugiai įkelti. Šis pažeidžiamumas, esantis kiekvienoje per pastarąjį dešimtmetį pasirašytoje „Linux“ įkrovos programoje, sukėlė susirūpinimą dėl plataus jo poveikio.
Išsami informacija apie CVE-2023-40547
Kritinis pažeidžiamumas slypi shim http įkrovos palaikyme ir jį iškėlė Alanas Coopersmithas iš Oracle. Šis trūkumas atveria duris kontroliuojamam už ribų rašymo primityvui apdorojant HTTP atsakymus. Iš esmės tai gali sukelti saugaus įkrovos apeiti, potencialiai leidžiant priešininkams vykdyti nuotolinį kodą ir pakenkti visai sistemai. Eclypsium, programinės aparatinės įrangos saugos įmonė, pabrėžė HTTP protokolo tvarkymo pažeidžiamumo kilmę, dėl kurios buvo rašoma už ribų, dėl kurios gali būti visiškai pažeista sistema.
Pagal hipotetinį išnaudojimo scenarijų, užpuolikai galėtų panaudoti šį trūkumą, kad įkeltų pažeistą įkrovos įkėlimo programą, palengvinant „Man-in-the-Middle“ (MiTM) atakas tinkle. Šio pažeidžiamumo rimtumą pabrėžia faktas, kad jis apima kiekvieną per pastarąjį dešimtmetį pasirašytą „Linux“ įkrovos įkroviklį, o tai reiškia didelį galimą poveikį įvairioms sistemoms.
Papildomi Shim pažeidžiamumai
„Shim“ 15.8 versija ne tik skirta CVE-2023-40547, bet ir pašalina penkis papildomus pažeidžiamumus, kurių kiekvienas turi savo galimų pasekmių. Šios spragos apima neribotas skaitymas ir rašymas, buferio perpildymas ir problemos, susijusios su autentifikavimo ir saugaus įkrovos išplėstinio taikymo (SBAT) informacijos tvarkymu.
Greiti atsakymai iš pagrindinių Linux platintojų
Pripažindami situacijos rimtumą, pagrindiniai Linux platintojai, tokie kaip Debian, Red Hat, SUSE ir Ubuntu, nedelsdami išleido patarimus dėl šių saugos trūkumų. Vartotojai primygtinai raginami atnaujinti savo sistemas į naujausią tarpinės versijos versiją, kad sumažintumėte galimą riziką, susijusią su šiais pažeidžiamumu.
Aptikimas ir panašios grėsmės
Kenkėjiškų programų, išnaudojančių šias spragas, aptikimo pavadinimai dar nėra plačiai atskleisti. Tačiau, atsižvelgiant į „Shim RCE“ pažeidžiamumo pobūdį, saugumo ekspertai rekomenduoja stebėti tinklo srautą, ar nėra įtartinų HTTP užklausų ir naudingų krovinių. Panašios grėsmės, kurios išnaudoja įkrovos įkrovos pažeidžiamumą, gali apimti atakas prieš programinę-aparatinę įrangą, UEFI ar kitus svarbius įkrovos proceso komponentus.
Pašalinimo vadovas
Dėl 15.8 versijoje pašalintų pažeidžiamumų pobūdžio būtinas išsamus pašalinimo vadovas. Atlikite šiuos veiksmus, kad visiškai pašalintumėte visas galimas grėsmes:
- Atnaujinkite skydelį: Nedelsdami atnaujinkite tarpiklio komponentą į 15.8 ar naujesnę versiją naudodami oficialias „Linux“ platinimo saugyklas.
- Patikrinkite sistemos vientisumą: Patikrinkite sistemos failų ir įkrovos komponentų vientisumą naudodami „Linux“ platinimo įrankius.
- Tinklo stebėjimas: Stebėkite tinklo srautą, ar nėra įtartinų HTTP užklausų ar naudingų krovinių, kurie gali reikšti vykstančią ataką.
- Taikykite saugos pataisas: Reguliariai tikrinkite ir taikykite saugos pataisas, kurias teikia jūsų Linux platinimas, kad užtikrintumėte nuolatinę apsaugą.
Geriausia prevencijos praktika
Kad išvengtumėte būsimų infekcijų ir pagerintumėte bendrą sistemos saugumą, atsižvelkite į šiuos geriausios praktikos pavyzdžius:
- Reguliarūs atnaujinimai: Atnaujinkite savo operacinę sistemą, įkrovos įkroviklį ir visą įdiegtą programinę įrangą naudodami naujausius saugos pataisymus.
- Tinklo segmentavimas: Įdiekite tinklo segmentavimą, kad apribotumėte galimų atakų poveikį ir išvengtumėte šoninio judėjimo tinkle.
- Vartotojo išsilavinimas: Mokykite vartotojus apie tai, kaip svarbu vengti įtartinų nuorodų, priedų ir svetainių, kad sumažintumėte riziką tapti socialinės inžinerijos atakų aukomis.
- Firmware sauga: Reguliariai atnaujinkite ir apsaugokite programinės įrangos komponentus, kad pašalintumėte galimus pagrindinės aparatinės įrangos pažeidžiamumus.
Išvada
„Shim RCE“ pažeidžiamumas kelia didelę grėsmę „Linux“ sistemų saugumui, o dėl galimo jo poveikio įvairioms sistemoms reikia nedelsiant imtis veiksmų. Vadovaudamiesi pateiktu pašalinimo vadovu ir įgyvendindami geriausią prevencijos praktiką, vartotojai gali sustiprinti savo sistemas nuo šios kritinės kibernetinės grėsmės ir išlaikyti atsparią gynybos poziciją besikeičiančių saugumo iššūkių akivaizdoje.