В недавнем сообщении разработчики shim, ключевого компонента, служащего загрузчиком первого этапа в системах UEFI, обнаружили критическую ошибку безопасности в своей последней версии 15.8. Эта уязвимость, отслеживаемая как CVE-2023-40547, имеет оценку CVSS 9.8, что представляет собой серьезную угрозу безопасности основных дистрибутивов Linux. Обнаруженный и сообщенный Биллом Демиркапи из Центра реагирования на безопасность Microsoft (MSRC), этот недостаток создает возможность удаленного выполнения кода и обхода безопасной загрузки. Эта уязвимость, присутствующая в каждом загрузчике Linux, подписанном за последнее десятилетие, вызвала обеспокоенность по поводу ее широкого распространения.
Подробности CVE-2023-40547
Критическая уязвимость заключается в поддержке http-загрузки shim и была обнаружена Аланом Куперсмитом из Oracle. Этот недостаток открывает дверь к управляемому примитиву записи за пределами границ при обработке HTTP-ответов. По сути, это может привести к обходу безопасной загрузки, что потенциально позволит злоумышленникам выполнить удаленный код и поставить под угрозу всю систему. Eclypsium, компания, занимающаяся безопасностью встроенного программного обеспечения, подчеркнула причину уязвимости в обработке протокола HTTP, которая приводит к записи за пределами границ, что может привести к полной компрометации системы.
В гипотетическом сценарии эксплойта злоумышленники могут использовать эту уязвимость для загрузки скомпрометированного загрузчика прокладки, облегчая атаки типа «человек посередине» (MiTM) в сети. Серьезность этой уязвимости подчеркивается тем фактом, что она затрагивает все загрузчики Linux, подписанные за последнее десятилетие, что указывает на значительное потенциальное воздействие на широкий спектр систем.
Дополнительные уязвимости Shim
Версия Shim 15.8 не только устраняет CVE-2023-40547, но также исправляет пять дополнительных уязвимостей, каждая из которых имеет свой набор потенциальных последствий. Эти уязвимости включают чтение и запись за пределами границ, переполнение буфера и проблемы, связанные с обработкой аутентификационного кода и информации Secure Boot Advanced Targeting (SBAT).
Немедленные ответы от основных дистрибутивов Linux
Осознавая серьезность ситуации, основные дистрибутивы Linux, такие как Debian, Red Hat, SUSE и Ubuntu, незамедлительно выпустили рекомендации относительно этих недостатков безопасности. Пользователям настоятельно рекомендуется обновить свои системы до последней версии оболочки, чтобы снизить потенциальные риски, связанные с этими уязвимостями.
Обнаружение и подобные угрозы
Названия вредоносных программ, использующих эти уязвимости, еще не разглашаются. Однако, учитывая характер уязвимости Shim RCE, эксперты по безопасности рекомендуют отслеживать сетевой трафик на предмет подозрительных HTTP-запросов и полезных данных. Подобные угрозы, использующие уязвимости загрузчика, могут включать атаки на встроенное ПО, UEFI или другие важные компоненты процесса загрузки.
Руководство по удалению
Из-за характера уязвимостей, устраненных в версии 15.8, необходимо подробное руководство по их удалению. Выполните следующие действия, чтобы обеспечить полное удаление любых потенциальных угроз:
- Обновить Шим: Немедленно обновите компонент shim до версии 15.8 или новее, используя официальные репозитории вашего дистрибутива Linux.
- Проверьте целостность системы: Проверьте целостность системных файлов и компонентов загрузчика с помощью инструментов, входящих в ваш дистрибутив Linux.
- Сетевой мониторинг: Отслеживайте сетевой трафик на предмет любых подозрительных HTTP-запросов или полезных данных, которые могут указывать на продолжающуюся атаку.
- Примените исправления безопасности: Регулярно проверяйте и применяйте исправления безопасности, предоставляемые вашим дистрибутивом Linux, чтобы обеспечить постоянную защиту.
Лучшие практики профилактики
Чтобы предотвратить будущие заражения и повысить общий уровень безопасности вашей системы, рассмотрите следующие рекомендации:
- Регулярные обновления: Постоянно обновляйте свою операционную систему, загрузчик и все установленное программное обеспечение с помощью последних обновлений безопасности.
- Сегментация сети: Внедрите сегментацию сети, чтобы ограничить воздействие потенциальных атак и предотвратить горизонтальное перемещение внутри сети.
- Обучение пользователей: Объясните пользователям, как важно избегать подозрительных ссылок, вложений и веб-сайтов, чтобы снизить риск стать жертвой атак социальной инженерии.
- Безопасность прошивки: Регулярно обновляйте и защищайте компоненты встроенного ПО для устранения потенциальных уязвимостей в базовом оборудовании.
Заключение
Уязвимость Shim RCE представляет собой серьезную угрозу безопасности систем Linux, а ее потенциальное воздействие на широкий спектр систем требует немедленных действий. Следуя предоставленному руководству по удалению и применяя передовые методы предотвращения, пользователи могут защитить свои системы от этой критической киберугрозы и поддерживать устойчивую оборонную позицию перед лицом развивающихся проблем безопасности.