I en nyligen avslöjad avslöjande har utvecklarna av shim, en central komponent som fungerar som starthanteraren i första steget på UEFI-system, avslöjat en kritisk säkerhetsbrist i sin senaste version, 15.8. Spåras som CVE-2023-40547, har denna sårbarhet ett CVSS-poäng på 9.8, vilket utgör ett betydande hot mot säkerheten för större Linux-distributioner. Upptäckt och rapporterat av Bill Demirkapi från Microsoft Security Response Center (MSRC), introducerar felet potentialen för fjärrexekvering av kod och en Secure Boot-bypass. Denna sårbarhet, som finns i varje Linux-starthanterare som signerats under det senaste decenniet, har väckt oro över dess utbredda inverkan.
Detaljer för CVE-2023-40547
Den kritiska sårbarheten finns i shims http-startstöd och togs fram av Alan Coopersmith från Oracle. Denna brist öppnar dörren till en kontrollerad out-of-bounds-skrivprimitiv vid bearbetning av HTTP-svar. I grund och botten kan det leda till en Secure Boot-bypass, vilket potentiellt tillåter motståndare att exekvera fjärrkod och äventyra hela systemet. Eclypsium, ett firmware-säkerhetsföretag, framhöll ursprunget till sårbarheten i HTTP-protokollhanteringen, vilket ledde till en out-of-bounds-skrivning som kan resultera i en fullständig systemkompromiss.
I ett hypotetiskt exploateringsscenario kan angripare utnyttja denna brist för att ladda en komprometterad shim-starthanterare, vilket underlättar Man-in-the-Middle (MiTM)-attacker på nätverket. Allvaret i denna sårbarhet understryks av det faktum att den sträcker sig över alla Linux-starthanterare som signerats under det senaste decenniet, vilket innebär en betydande potentiell påverkan på ett brett spektrum av system.
Ytterligare shim-sårbarheter
Shim version 15.8 adresserar inte bara CVE-2023-40547 utan åtgärdar även fem ytterligare sårbarheter, var och en med sin egen uppsättning potentiella konsekvenser. Dessa sårbarheter inkluderar läsning och skrivning utanför gränserna, buffertspill och problem relaterade till hanteringen av autentikod och SBAT-information (Secure Boot Advanced Targeting).
Omedelbara svar från stora Linux-distributioner
Genom att inse allvaret i situationen har stora Linux-distributioner som Debian, Red Hat, SUSE och Ubuntu omedelbart släppt råd om dessa säkerhetsbrister. Användare uppmanas starkt att uppdatera sina system till den senaste shim-versionen för att minska potentiella risker i samband med dessa sårbarheter.
Upptäckt och liknande hot
Detektionsnamn för skadlig programvara som utnyttjar dessa sårbarheter har ännu inte avslöjats i stor utsträckning. Men med tanke på hur sårbarheten i Shim RCE är, rekommenderar säkerhetsexperter att man övervakar nätverkstrafik för misstänkta HTTP-förfrågningar och nyttolaster. Liknande hot som utnyttjar bootloader-sårbarheter kan inkludera attacker på firmware, UEFI eller andra kritiska komponenter i startprocessen.
Borttagningsguide
På grund av arten av sårbarheterna som behandlas i shim version 15.8 är en omfattande borttagningsguide viktig. Följ dessa steg för att säkerställa att alla potentiella hot tas bort fullständigt:
- Uppdatera Shim: Uppdatera omedelbart shim-komponenten till version 15.8 eller senare med de officiella arkiven för din Linux-distribution.
- Kontrollera systemets integritet: Verifiera integriteten hos systemfiler och bootloader-komponenter med hjälp av verktyg som tillhandahålls av din Linux-distribution.
- Nätverksövervakning: Övervaka nätverkstrafik efter misstänkta HTTP-förfrågningar eller nyttolaster som kan indikera en pågående attack.
- Applicera säkerhetskorrigeringar: Kontrollera regelbundet efter och tillämpa säkerhetskorrigeringar som tillhandahålls av din Linux-distribution för att säkerställa kontinuerligt skydd.
Bästa praxis för förebyggande
För att förhindra framtida infektioner och förbättra den övergripande säkerhetsställningen för ditt system, överväg följande bästa praxis:
- Vanliga uppdateringar: Håll ditt operativsystem, bootloader och all installerad programvara uppdaterad med de senaste säkerhetskorrigeringarna.
- Nätverkssegmentering: Implementera nätverkssegmentering för att begränsa effekten av potentiella attacker och förhindra sidorörelse inom nätverket.
- Användarutbildning: Utbilda användare om vikten av att undvika misstänkta länkar, bilagor och webbplatser för att minska risken att falla offer för sociala ingenjörsattacker.
- Firmware-säkerhet: Uppdatera och säkra firmwarekomponenter regelbundet för att åtgärda potentiella sårbarheter i den underliggande hårdvaran.
Slutsats
Shim RCE-sårbarheten utgör ett betydande hot mot säkerheten för Linux-system, och dess potentiella inverkan på ett brett spektrum av system kräver omedelbara åtgärder. Genom att följa den medföljande borttagningsguiden och implementera bästa praxis för förebyggande, kan användare stärka sina system mot detta kritiska cyberhot och upprätthålla en motståndskraftig försvarsställning inför föränderliga säkerhetsutmaningar.