Во едно неодамнешно откритие, развивачите на шим, клучна компонента што служи како подигнувач во првата фаза на системите UEFI, открија критичен безбедносен пропуст во нивната најнова верзија, 15.8. Следена како CVE-2023-40547, оваа ранливост носи оценка CVSS од 9.8, што претставува значителна закана за безбедноста на главните дистрибуции на Linux. Откриена и пријавена од Бил Демиркапи од Центарот за одговор за безбедност на Microsoft (MSRC), пропустот воведува потенцијал за далечинско извршување на кодот и безбеден бајпас за подигање. Оваа ранливост, присутна во секој подигнувач на Linux потпишан во изминатата деценија, предизвика загриженост за нејзиното широко распространето влијание.
Детали за CVE-2023-40547
Критичната ранливост се наоѓа во http поддршката за подигање на shim и беше откриена од Алан Куперсмит од Oracle. Овој пропуст ја отвора вратата за контролирано примитивно пишување надвор од границите кога се обработуваат HTTP одговорите. Во суштина, тоа може да доведе до заобиколување на безбедно подигање, потенцијално дозволувајќи им на противниците да извршат далечински код и да го компромитираат целиот систем. Eclypsium, фирма за безбедност на фирмверот, го истакна потеклото на ранливоста во ракувањето со протоколот HTTP, што доведе до пишување надвор од границите што може да резултира со целосен компромис на системот.
Во хипотетичко сценарио за експлоатација, напаѓачите би можеле да го искористат овој недостаток за да вчитаат компромитиран подигнувач на шим, олеснувајќи ги нападите Man-in-the-Middle (MiTM) на мрежата. Сериозноста на оваа ранливост е нагласена со фактот дека таа се протега низ секој подигнувач на Linux потпишан во изминатата деценија, што означува значително потенцијално влијание врз широк опсег на системи.
Дополнителни ранливости на шим
Верзијата 15.8 на Shim не само што се однесува на CVE-2023-40547, туку и поправа пет дополнителни пропусти, секоја со свој сет на потенцијални последици. Овие пропусти вклучуваат читање и запишување надвор од границите, прелевање на баферот и проблеми поврзани со ракување со автентикод и информации за напредно таргетирање за безбедно подигање (SBAT).
Непосредни одговори од големите дистрибуции на Linux
Препознавајќи ја тежината на ситуацијата, големите дистрибуции на Linux како што се Debian, Red Hat, SUSE и Ubuntu веднаш објавија совети во врска со овие безбедносни пропусти. Корисниците се силно повикани да ги ажурираат своите системи до најновата верзија на шим за да ги ублажат потенцијалните ризици поврзани со овие пропусти.
Откривање и слични закани
Имињата за откривање на малициозен софтвер што ги искористува овие пропусти допрва треба да бидат широко откриени. Сепак, со оглед на природата на ранливоста на Shim RCE, безбедносните експерти препорачуваат следење на мрежниот сообраќај за сомнителни HTTP барања и носивост. Слични закани што ги искористуваат пропустите на подигнувачот може да вклучуваат напади на фирмверот, UEFI или други критични компоненти на процесот на подигање.
Водич за отстранување
Поради природата на пропустите адресирани во верзијата 15.8 на шим, од суштинско значење е сеопфатен водич за отстранување. Следете ги овие чекори за да обезбедите целосно отстранување на сите потенцијални закани:
- Ажурирајте го Шим: Веднаш ажурирајте ја компонентата на шим на верзијата 15.8 или понова со користење на официјалните складишта за вашата дистрибуција на Linux.
- Проверете го интегритетот на системот: Потврдете го интегритетот на системските датотеки и компонентите на подигнувачот користејќи алатки обезбедени од вашата дистрибуција на Linux.
- Мрежен мониторинг: Следете го мрежниот сообраќај за какви било сомнителни HTTP барања или носивост што може да укаже на тековен напад.
- Примени безбедносни закрпи: Редовно проверувајте и применувајте безбедносни закрпи обезбедени од вашата дистрибуција на Linux за да обезбедите постојана заштита.
Најдобри практики за превенција
За да спречите идни инфекции и да го подобрите целокупното безбедносно држење на вашиот систем, разгледајте ги следните најдобри практики:
- Редовни ажурирања: Одржувајте го вашиот оперативен систем, подигнувачот и целиот инсталиран софтвер ажурирани со најновите безбедносни закрпи.
- Мрежна сегментација: Спроведување на сегментација на мрежата за да се ограничи влијанието на потенцијалните напади и да се спречи страничното движење во мрежата.
- Образование на корисниците: Едуцирајте ги корисниците за важноста од избегнување сомнителни врски, прилози и веб-локации за да се намали ризикот да станете жртва на напади од социјален инженеринг.
- Безбедност на фирмверот: Редовно ажурирајте и обезбедувајте ги компонентите на фирмверот за да се решат потенцијалните пропусти во основниот хардвер.
Заклучок
Ранливоста на Shim RCE претставува значајна закана за безбедноста на системите на Linux, а нејзиното потенцијално влијание врз широк опсег на системи бара итна акција. Следејќи го дадениот водич за отстранување и имплементирање на најдобри практики за превенција, корисниците можат да ги зајакнат своите системи против оваа критична сајбер закана и да одржат отпорна одбранбена положба наспроти безбедносните предизвици кои се развиваат.