I en nylig avsløring har utviklerne av shim, en sentral komponent som fungerer som første trinns oppstartslaster på UEFI-systemer, avslørt en kritisk sikkerhetsfeil i sin siste versjon, 15.8. Sporet som CVE-2023-40547, har dette sikkerhetsproblemet en CVSS-score på 9.8, noe som utgjør en betydelig trussel mot sikkerheten til store Linux-distribusjoner. Oppdaget og rapportert av Bill Demirkapi fra Microsoft Security Response Center (MSRC), introduserer feilen potensialet for ekstern kjøring av kode og en Secure Boot-bypass. Denne sårbarheten, som er tilstede i alle Linux-oppstartslastere som er signert i løpet av det siste tiåret, har skapt bekymring for dens utbredte innvirkning.
Detaljer om CVE-2023-40547
Den kritiske sårbarheten ligger i shims http boot-støtte og ble brakt frem av Alan Coopersmith fra Oracle. Denne feilen åpner døren til en kontrollert out-of-bounds skriveprimitiv ved behandling av HTTP-svar. I hovedsak kan det føre til en Secure Boot-bypass, som potensielt lar motstandere kjøre ekstern kode og kompromittere hele systemet. Eclypsium, et fastvaresikkerhetsfirma, fremhevet opprinnelsen til sårbarheten i HTTP-protokollhåndteringen, noe som førte til en out-of-bounds-skriving som kan resultere i et fullstendig systemkompromittering.
I et hypotetisk utnyttelsesscenario kan angripere utnytte denne feilen til å laste en kompromittert shim-oppstartslaster, noe som letter Man-in-the-Middle (MiTM)-angrep på nettverket. Alvorlighetsgraden av denne sårbarheten understrekes av det faktum at den spenner over alle Linux-oppstartslastere som er signert det siste tiåret, noe som betyr en betydelig potensiell innvirkning på et bredt spekter av systemer.
Ytterligere Shim-sårbarheter
Shim versjon 15.8 adresserer ikke bare CVE-2023-40547, men retter også fem ekstra sårbarheter, hver med sitt eget sett med potensielle konsekvenser. Disse sårbarhetene inkluderer lesing og skriving utenfor grensene, bufferoverløp og problemer knyttet til håndtering av autentikode og informasjon om Secure Boot Advanced Targeting (SBAT).
Umiddelbare svar fra store Linux-distribusjoner
I erkjennelse av alvoret i situasjonen, har store Linux-distribusjoner som Debian, Red Hat, SUSE og Ubuntu umiddelbart gitt ut råd om disse sikkerhetsmanglerne. Brukere oppfordres sterkt til å oppdatere systemene sine til den nyeste shim-versjonen for å redusere potensielle risikoer knyttet til disse sårbarhetene.
Deteksjon og lignende trusler
Deteksjonsnavn for skadelig programvare som utnytter disse sårbarhetene er ennå ikke avslørt bredt. Men gitt karakteren av Shim RCE-sårbarheten, anbefaler sikkerhetseksperter å overvåke nettverkstrafikk for mistenkelige HTTP-forespørsler og nyttelast. Lignende trusler som utnytter oppstartslasterens sårbarheter kan inkludere angrep på fastvaren, UEFI eller andre kritiske komponenter i oppstartsprosessen.
Fjerningsguide
På grunn av arten av sårbarhetene adressert i shim versjon 15.8, er en omfattende fjerningsveiledning viktig. Følg disse trinnene for å sikre fullstendig fjerning av potensielle trusler:
- Oppdater Shim: Oppdater shim-komponenten umiddelbart til versjon 15.8 eller nyere ved å bruke de offisielle repositoriene for din Linux-distribusjon.
- Sjekk systemintegritet: Bekreft integriteten til systemfiler og oppstartslasterkomponenter ved å bruke verktøy som leveres av din Linux-distribusjon.
- Nettverksovervåking: Overvåk nettverkstrafikk for alle mistenkelige HTTP-forespørsler eller nyttelaster som kan indikere et pågående angrep.
- Bruk sikkerhetsoppdateringer: Se regelmessig etter og bruk sikkerhetsoppdateringer levert av Linux-distribusjonen din for å sikre kontinuerlig beskyttelse.
Beste praksis for forebygging
For å forhindre fremtidige infeksjoner og forbedre den generelle sikkerhetsposisjonen til systemet ditt, bør du vurdere følgende beste praksis:
- Regelmessige oppdateringer: Hold operativsystemet, oppstartslasteren og all installert programvare oppdatert med de nyeste sikkerhetsoppdateringene.
- Nettverkssegmentering: Implementer nettverkssegmentering for å begrense virkningen av potensielle angrep og forhindre sideveis bevegelse i nettverket.
- Brukerutdanning: Lær brukere om viktigheten av å unngå mistenkelige lenker, vedlegg og nettsteder for å redusere risikoen for å bli ofre for angrep fra sosialt ingeniørarbeid.
- Fastvaresikkerhet: Oppdater og sikre fastvarekomponenter regelmessig for å løse potensielle sårbarheter i den underliggende maskinvaren.
konklusjonen
Shim RCE-sårbarheten utgjør en betydelig trussel mot sikkerheten til Linux-systemer, og dens potensielle innvirkning på et bredt spekter av systemer krever umiddelbar handling. Ved å følge den medfølgende fjerningsveiledningen og implementere beste praksis for forebygging, kan brukere styrke systemene sine mot denne kritiske cybertrusselen og opprettholde en motstandsdyktig forsvarsstilling i møte med skiftende sikkerhetsutfordringer.