Nesenā atklājumā shim izstrādātāji, kas ir galvenais komponents, kas kalpo kā pirmā posma sāknēšanas ielādētājs UEFI sistēmās, ir atklājuši kritisku drošības trūkumu savā jaunākajā versijā 15.8. Šī ievainojamība, kas izsekota kā CVE-2023-40547, nodrošina CVSS punktu skaitu 9.8, radot nopietnus draudus lielāko Linux izplatījumu drošībai. Atklāja un ziņoja Bils Demirkapi no Microsoft Security Response Center (MSRC), defekts rada attālinātas koda izpildes un drošās sāknēšanas apiešanas iespēju. Šī ievainojamība, kas atrodas katrā pēdējās desmitgades laikā parakstītajā Linux sāknēšanas ielādētājā, ir radījusi bažas par tās plašo ietekmi.
Sīkāka informācija par CVE-2023-40547
Kritiskā ievainojamība slēpjas shim http sāknēšanas atbalstā, un to atklāja Alans Kūpersmits no Oracle. Šis trūkums paver durvis kontrolētam ārpus robežām rakstīšanas primitīvam, apstrādājot HTTP atbildes. Būtībā tas var novest pie drošas sāknēšanas apiešanas, potenciāli ļaujot pretiniekiem izpildīt attālo kodu un kompromitēt visu sistēmu. Eclypsium, programmaparatūras drošības uzņēmums, uzsvēra HTTP protokola apstrādes ievainojamības izcelsmi, izraisot ārpus robežām rakstīšanas, kas var izraisīt pilnīgu sistēmas kompromisu.
Hipotētiskā izmantošanas scenārijā uzbrucēji varētu izmantot šo trūkumu, lai ielādētu kompromitētu starplikas sāknēšanas ielādētāju, veicinot Man-in-the-Middle (MiTM) uzbrukumus tīklam. Šīs ievainojamības nopietnību uzsver fakts, ka tā aptver katru Linux sāknēšanas ielādētāju, kas parakstīts pēdējā desmitgadē, norādot uz būtisku iespējamo ietekmi uz plašu sistēmu klāstu.
Papildu Shim ievainojamības
Shim versija 15.8 ne tikai risina CVE-2023-40547, bet arī novērš piecas papildu ievainojamības, un katrai no tām ir savs iespējamo seku kopums. Šīs ievainojamības ietver lasīšanas un rakstīšanas ārpus robežām, bufera pārpildes un problēmas, kas saistītas ar autentifikācijas un Secure Boot Advanced Targeting (SBAT) informācijas apstrādi.
Tūlītējas atbildes no galvenajiem Linux izplatījumiem
Apzinoties situācijas nopietnību, galvenie Linux izplatījumi, piemēram, Debian, Red Hat, SUSE un Ubuntu, ir nekavējoties izlaiduši ieteikumus par šiem drošības trūkumiem. Lietotāji tiek stingri mudināti atjaunināt savas sistēmas uz jaunāko starplikas versiju, lai mazinātu iespējamos riskus, kas saistīti ar šīm ievainojamībām.
Atklāšana un līdzīgi draudi
Ļaunprātīgas programmatūras noteikšanas nosaukumi, kas izmanto šīs ievainojamības, vēl nav plaši atklāti. Tomēr, ņemot vērā Shim RCE ievainojamības raksturu, drošības eksperti iesaka uzraudzīt tīkla trafiku, lai atklātu aizdomīgus HTTP pieprasījumus un lietderīgās slodzes. Līdzīgi draudi, kas izmanto sāknēšanas ielādētāja ievainojamības, var ietvert uzbrukumus programmaparatūrai, UEFI vai citiem kritiskiem sāknēšanas procesa komponentiem.
Noņemšanas rokasgrāmata
Tā kā starplikas versijā 15.8 novērstās ievainojamības ir būtiskas, ir nepieciešama visaptveroša noņemšanas rokasgrāmata. Veiciet šīs darbības, lai nodrošinātu visu iespējamo apdraudējumu pilnīgu noņemšanu:
- Atjaunināt Shim: Nekavējoties atjauniniet starplikas komponentu uz versiju 15.8 vai jaunāku, izmantojot sava Linux izplatīšanas oficiālās krātuves.
- Pārbaudiet sistēmas integritāti: Pārbaudiet sistēmas failu un sāknēšanas ielādētāja komponentu integritāti, izmantojot rīkus, ko nodrošina jūsu Linux izplatīšana.
- Tīkla uzraudzība: Pārraugiet tīkla trafiku, lai atklātu aizdomīgus HTTP pieprasījumus vai lietderīgās slodzes, kas varētu norādīt uz notiekošu uzbrukumu.
- Lietojiet drošības ielāpus: Regulāri pārbaudiet un lietojiet drošības ielāpus, ko nodrošina jūsu Linux izplatīšana, lai nodrošinātu pastāvīgu aizsardzību.
Paraugprakse profilaksei
Lai novērstu turpmākas infekcijas un uzlabotu sistēmas vispārējo drošības stāvokli, ņemiet vērā tālāk norādīto paraugpraksi.
- Regulāri atjauninājumi: Atjauniniet savu operētājsistēmu, sāknēšanas ielādētāju un visu instalēto programmatūru, izmantojot jaunākos drošības ielāpus.
- Tīkla segmentācija: Ieviesiet tīkla segmentāciju, lai ierobežotu iespējamo uzbrukumu ietekmi un novērstu sānu kustību tīklā.
- Lietotāja izglītība: Izglītojiet lietotājus par to, cik svarīgi ir izvairīties no aizdomīgām saitēm, pielikumiem un vietnēm, lai samazinātu risku kļūt par sociālās inženierijas uzbrukumu upuriem.
- Programmaparatūras drošība: Regulāri atjauniniet un nodrošiniet programmaparatūras komponentus, lai novērstu iespējamās pamata aparatūras ievainojamības.
Secinājumi
Shim RCE ievainojamība rada ievērojamus draudus Linux sistēmu drošībai, un tās iespējamā ietekme uz plašu sistēmu klāstu prasa tūlītēju rīcību. Ievērojot sniegto noņemšanas rokasgrāmatu un ieviešot profilakses paraugpraksi, lietotāji var stiprināt savas sistēmas pret šo kritisko kiberdraudu un saglabāt noturīgu aizsardzības stāju, saskaroties ar mainīgajām drošības problēmām.