V nedavnem razkritju so razvijalci shima, ključne komponente, ki služi kot prvostopenjski zagonski nalagalnik v sistemih UEFI, razkrili kritično varnostno napako v svoji najnovejši različici, 15.8. Ta ranljivost, označena kot CVE-2023-40547, ima oceno CVSS 9.8, kar predstavlja veliko grožnjo varnosti večjih distribucij Linuxa. Napaka, ki jo je odkril in o njej poročal Bill Demirkapi iz Microsoftovega varnostno-odzivnega centra (MSRC), predstavlja potencial za oddaljeno izvajanje kode in obvod varnega zagona. Ta ranljivost, prisotna v vsakem zagonskem nalagalniku Linuxa, podpisanem v zadnjem desetletju, je sprožila zaskrbljenost glede njenega širokega vpliva.
Podrobnosti o CVE-2023-40547
Kritična ranljivost je v podpori za zagon http shim in jo je razkril Alan Coopersmith iz Oracla. Ta napaka odpira vrata nadzorovanemu primitivnemu pisanju izven meja pri obdelavi odzivov HTTP. V bistvu lahko vodi do obvoda varnega zagona, kar lahko nasprotnikom omogoči izvajanje oddaljene kode in ogrožanje celotnega sistema. Eclypsium, podjetje za varnost vdelane programske opreme, je izpostavilo izvor ranljivosti pri ravnanju s protokolom HTTP, kar vodi do pisanja izven meja, kar lahko povzroči popolno ogrožanje sistema.
V hipotetičnem scenariju izkoriščanja bi lahko napadalci to napako izkoristili za nalaganje ogroženega zagonskega nalagalnika shim, kar bi olajšalo napade Man-in-the-Middle (MiTM) na omrežje. Resnost te ranljivosti je poudarjena z dejstvom, da se razteza po vseh zagonskih nalagalnikih Linuxa, podpisanih v zadnjem desetletju, kar pomeni pomemben potencialni vpliv na širok nabor sistemov.
Dodatne ranljivosti Shim
Shim različica 15.8 ne le obravnava CVE-2023-40547, ampak tudi odpravlja pet dodatnih ranljivosti, od katerih ima vsaka svoj niz možnih posledic. Te ranljivosti vključujejo branje in pisanje izven meja, prelivanje medpomnilnika in težave, povezane z ravnanjem z avtentikodo in informacijami Secure Boot Advanced Targeting (SBAT).
Takojšnji odzivi večjih distribucij Linuxa
Ker se zavedajo resnosti situacije, so glavne distribucije Linuxa, kot so Debian, Red Hat, SUSE in Ubuntu, nemudoma objavile nasvete glede teh varnostnih napak. Uporabnike močno pozivamo, da posodobijo svoje sisteme na najnovejšo različico podložke, da ublažijo morebitna tveganja, povezana s temi ranljivostmi.
Odkrivanje in podobne grožnje
Imena odkrivanja zlonamerne programske opreme, ki izkorišča te ranljivosti, še niso razkrita. Glede na naravo ranljivosti Shim RCE pa varnostni strokovnjaki priporočajo spremljanje omrežnega prometa za sumljive zahteve HTTP in koristne obremenitve. Podobne grožnje, ki izkoriščajo ranljivosti zagonskega nalagalnika, lahko vključujejo napade na vdelano programsko opremo, UEFI ali druge kritične komponente zagonskega procesa.
Vodnik za odstranitev
Zaradi narave ranljivosti, ki jih obravnava različica shim 15.8, je obsežen vodnik za odstranitev bistven. Sledite tem korakom, da zagotovite popolno odstranitev morebitnih groženj:
- Posodobi Shim: Takoj posodobite komponento shim na različico 15.8 ali novejšo z uporabo uradnih repozitorijev za vašo distribucijo Linuxa.
- Preverite celovitost sistema: Preverite celovitost sistemskih datotek in komponent zagonskega nalagalnika z orodji, ki jih nudi vaša distribucija Linuxa.
- Nadzor omrežja: Spremljajte omrežni promet za morebitne sumljive zahteve HTTP ali obremenitve, ki bi lahko nakazovali na napad, ki je v teku.
- Uporabite varnostne popravke: Redno preverjajte in uporabljajte varnostne popravke, ki jih ponuja vaša distribucija Linuxa, da zagotovite stalno zaščito.
Najboljše prakse za preprečevanje
Če želite preprečiti prihodnje okužbe in povečati splošno varnost vašega sistema, upoštevajte naslednje najboljše prakse:
- Redne posodobitve: Posodabljajte svoj operacijski sistem, zagonski nalagalnik in vso nameščeno programsko opremo z najnovejšimi varnostnimi popravki.
- Segmentacija omrežja: Izvedite segmentacijo omrežja, da omejite vpliv morebitnih napadov in preprečite bočno premikanje znotraj omrežja.
- Izobraževanje uporabnikov: Poučite uporabnike o pomembnosti izogibanja sumljivim povezavam, prilogam in spletnim mestom, da zmanjšate tveganje, da postanejo žrtve napadov socialnega inženiringa.
- Varnost vdelane programske opreme: Redno posodabljajte in varujte komponente vdelane programske opreme, da odpravite morebitne ranljivosti v osnovni strojni opremi.
zaključek
Ranljivost Shim RCE predstavlja pomembno grožnjo varnosti sistemov Linux in njen potencialni vpliv na širok nabor sistemov zahteva takojšnje ukrepanje. Z upoštevanjem priloženega vodnika za odstranitev in izvajanjem najboljših praks za preprečevanje lahko uporabniki okrepijo svoje sisteme pred to kritično kibernetsko grožnjo in ohranijo prožno obrambno držo pred razvijajočimi se varnostnimi izzivi.