Дар як кашфи ахир, таҳиягарони shim, як ҷузъи муҳими боркунаки марҳилаи аввал дар системаҳои UEFI, як камбудии муҳими амниятиро дар версияи охирини худ, 15.8 ошкор карданд. Ин осебпазирӣ ҳамчун CVE-2023-40547 пайгирӣ карда мешавад, ки холҳои CVSS-и 9.8-ро дорад, ки ба амнияти дистрибюторҳои асосии Linux таҳдиди ҷиддӣ эҷод мекунад. Аз ҷониби Билл Демиркапи аз Маркази вокуниш ба Амнияти Microsoft (MSRC) кашф ва гузориш дода шудааст, ин камбуди потенсиали иҷроиши коди фосилавӣ ва гузариши пурборкунии бехатарро муаррифӣ мекунад. Ин осебпазирӣ, ки дар ҳар як боркунаки пурборкунандаи Linux мавҷуд аст, ки дар давоми даҳсолаи охир ба имзо расида буд, нигарониҳоро дар бораи таъсири густурдаи он ба вуҷуд овард.
Тафсилоти CVE-2023-40547
Осебпазирии муҳим дар дастгирии http boot shim ҷойгир аст ва аз ҷониби Алан Куперсмит аз Oracle равшан карда шудааст. Ин камбудӣ ҳангоми коркарди посухҳои HTTP дари навиштани ибтидоии берун аз ҳудуди назоратшавандаро мекушояд. Аслан, он метавонад ба гузариши Secure Boot оварда расонад, ки эҳтимолан ба рақибон имкон медиҳад, ки рамзи дурдастро иҷро кунанд ва тамоми системаро вайрон кунанд. Eclypsium, як ширкати амнияти нармафзор, пайдоиши осебпазириро дар коркарди протоколи HTTP таъкид кард, ки ба навиштани берун аз ҳудуди он оварда мерасонад, ки метавонад ба созиши пурраи система оварда расонад.
Дар як сенарияи гипотетикии истисмор, ҳамлагарон метавонанд аз ин камбудиҳо истифода баранд, то як боркунаки пурборкунандаи осебдидаро бор кунанд ва ба ҳамлаҳои Man-in-the-Middle (MiTM) дар шабака мусоидат кунанд. Шиддати ин осебпазирӣ бо он таъкид карда мешавад, ки он дар ҳар як боркунаки пурборкунандаи Linux, ки дар даҳсолаи охир ба имзо расидаанд, фаро гирифта шудааст, ки таъсири назарраси эҳтимолиро ба доираи васеи системаҳо нишон медиҳад.
Офтобҳои иловагии Shim
Версияи Shim 15.8 на танҳо ба CVE-2023-40547 муроҷиат мекунад, балки панҷ осебпазирии иловагиро ислоҳ мекунад, ки ҳар кадоми онҳо маҷмӯи оқибатҳои эҳтимолии худро доранд. Ин осебпазириҳо хондан ва навиштан берун аз ҳудуд, фаромадани буфер ва масъалаҳои марбут ба коркарди коди аутентикӣ ва Secure Boot Advanced Targeting (SBAT) мебошанд.
Ҷавобҳои фаврӣ аз тақсимоти асосии Linux
Бо дарназардошти вазнинии вазъ, дистрибюторҳои асосии Linux, аз қабили Debian, Red Hat, SUSE ва Ubuntu фавран оид ба ин камбудиҳои амниятӣ маслиҳатҳо интишор карданд. Аз корбарон даъват карда мешавад, ки системаҳои худро ба версияи охирини shim навсозӣ кунанд, то хатарҳои эҳтимолии марбут ба ин осебпазириро коҳиш диҳанд.
Муайянкунӣ ва таҳдидҳои шабеҳ
Номҳои ошкор барои нармафзори зараровар, ки аз ин осебпазириҳо истифода мебаранд, ҳанӯз ба таври васеъ ошкор карда нашудаанд. Бо вуҷуди ин, бо назардошти хусусияти осебпазирии Shim RCE, коршиносони амният тавсия медиҳанд, ки трафики шабакаро барои дархостҳои шубҳаноки HTTP ва боргузориҳо назорат кунанд. Таҳдидҳои шабеҳе, ки осебпазирии боркунаки пурборкуниро истифода мебаранд, метавонанд ҳамлаҳоро ба нармафзори нармафзор, UEFI ё дигар ҷузъҳои муҳими раванди боркунӣ дар бар гиранд.
Дастури бартарафсозӣ
Аз сабаби хусусияти осебпазирӣ, ки дар версияи shim 15.8 баррасӣ шудаанд, дастури ҳамаҷонибаи бартарафсозӣ муҳим аст. Барои пурра бартараф кардани ҳама гуна таҳдидҳои эҳтимолӣ ин қадамҳоро иҷро кунед:
- Навсозии Shim: Бо истифода аз анборҳои расмии тақсимоти Linux-и худ ҷузъи shim-ро фавран ба версияи 15.8 ё дертар навсозӣ кунед.
- Тафтиши тамомияти система: Якчандии файлҳои система ва ҷузъҳои пурборкуниро бо истифода аз абзорҳое, ки тақсимоти Linux-и шумо пешниҳод кардааст, тафтиш кунед.
- Мониторинги шабака: Трафики шабакаро барои ҳама гуна дархостҳои шубҳаноки HTTP ё боргузориҳо, ки метавонанд ҳамлаи давомдорро нишон диҳанд, назорат кунед.
- Пахшҳои бехатариро татбиқ кунед: Барои таъмини муҳофизати доимӣ часбҳои амниятиеро, ки тақсимоти Linux-и шумо пешниҳод кардааст, мунтазам тафтиш кунед ва татбиқ кунед.
Таҷрибаҳои беҳтарин барои пешгирӣ
Барои пешгирии сироятҳои оянда ва беҳтар кардани ҳолати умумии амнияти системаи шумо, таҷрибаҳои беҳтарини зеринро баррасӣ кунед:
- Навсозии мунтазам: Системаи оператсионии худ, пурборкунанда ва ҳама нармафзори насбшударо бо навтарин часбчаҳои амниятӣ нигоҳ доред.
- Сегментатсияи шабака: Татбиқи сегментатсияи шабака барои маҳдуд кардани таъсири ҳамлаҳои эҳтимолӣ ва пешгирии ҳаракати паҳлӯӣ дар дохили шабака.
- Маълумоти корбар: Корбаронро дар бораи аҳамияти канорагирӣ аз истинодҳои шубҳанок, замимаҳо ва вебсайтҳо омӯзед, то хатари қурбонии ҳамлаҳои муҳандисии иҷтимоӣ коҳиш ёбад.
- Амнияти нармафзор: Ҷузъҳои нармафзори нармафзорро мунтазам навсозӣ ва муҳофизат кунед, то осебпазирии эҳтимолиро дар сахтафзори аслӣ ҳал кунед.
хулоса
Осебпазирии Shim RCE ба амнияти системаҳои Linux таҳдиди ҷиддӣ эҷод мекунад ва таъсири эҳтимолии он ба доираи васеи системаҳо чораҳои фаврӣ талаб мекунад. Бо риояи дастури бартарафсозии пешниҳодшуда ва татбиқи таҷрибаҳои беҳтарин барои пешгирӣ, корбарон метавонанд системаҳои худро бар зидди ин таҳдиди муҳими киберӣ мустаҳкам кунанд ва дар муқобили мушкилоти таҳаввулоти амниятӣ мавқеи устувори дифоъиро нигоҳ доранд.