ในการเปิดเผยล่าสุด ผู้พัฒนา shim ซึ่งเป็นองค์ประกอบสำคัญที่ทำหน้าที่เป็นบูตโหลดเดอร์ขั้นแรกบนระบบ UEFI ได้เปิดเผยข้อบกพร่องด้านความปลอดภัยที่สำคัญในเวอร์ชันล่าสุด 15.8 ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2023-40547 โดยมีคะแนน CVSS อยู่ที่ 9.8 ซึ่งถือเป็นภัยคุกคามที่สำคัญต่อความปลอดภัยของ Linux เวอร์ชันหลักๆ ค้นพบและรายงานโดย Bill Demirkapi จาก Microsoft Security Response Center (MSRC) ข้อบกพร่องนี้ทำให้เกิดความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลและการบายพาส Secure Boot ช่องโหว่นี้ซึ่งมีอยู่ในบูทโหลดเดอร์ Linux ทุกตัวที่ลงนามภายในทศวรรษที่ผ่านมา ทำให้เกิดความกังวลเกี่ยวกับผลกระทบในวงกว้าง
รายละเอียดของ CVE-2023-40547
ช่องโหว่ที่สำคัญอยู่ในการสนับสนุนการบูต http ของ shim และได้รับการแก้ไขโดย Alan Coopersmith จาก Oracle ข้อบกพร่องนี้เปิดประตูสู่การเขียนแบบดั้งเดิมนอกขอบเขตที่มีการควบคุมเมื่อประมวลผลการตอบสนอง HTTP โดยพื้นฐานแล้ว มันสามารถนำไปสู่การบายพาส Secure Boot ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถรันโค้ดระยะไกลและประนีประนอมทั้งระบบได้ Eclypsium ซึ่งเป็นบริษัทรักษาความปลอดภัยเฟิร์มแวร์ เน้นย้ำถึงจุดกำเนิดของช่องโหว่ในการจัดการโปรโตคอล HTTP ซึ่งนำไปสู่การเขียนข้อมูลนอกขอบเขตที่อาจส่งผลให้ระบบเสียหายโดยสมบูรณ์
ในสถานการณ์สมมติการหาประโยชน์ ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องนี้เพื่อโหลดบูตโหลดเดอร์ shim ที่ถูกบุกรุก ซึ่งอำนวยความสะดวกในการโจมตีแบบ Man-in-the-Middle (MiTM) บนเครือข่าย ความรุนแรงของช่องโหว่นี้เน้นย้ำด้วยความจริงที่ว่าช่องโหว่ดังกล่าวครอบคลุมถึงตัวโหลดบูต Linux ทุกตัวที่ลงนามในทศวรรษที่ผ่านมา ซึ่งบ่งบอกถึงผลกระทบที่สำคัญที่อาจเกิดขึ้นกับระบบที่หลากหลาย
ช่องโหว่ Shim เพิ่มเติม
Shim เวอร์ชัน 15.8 ไม่เพียงแต่จัดการกับ CVE-2023-40547 เท่านั้น แต่ยังแก้ไขช่องโหว่เพิ่มเติมอีก XNUMX รายการ โดยแต่ละช่องโหว่จะมีผลกระทบที่อาจเกิดขึ้นในตัวมันเอง ช่องโหว่เหล่านี้รวมถึงการอ่านและเขียนนอกขอบเขต บัฟเฟอร์ล้น และปัญหาที่เกี่ยวข้องกับการจัดการข้อมูลการรับรองความถูกต้องและข้อมูล Secure Boot Advanced Targeting (SBAT)
การตอบสนองทันทีจากการกระจาย Linux หลัก
เมื่อตระหนักถึงความรุนแรงของสถานการณ์นี้ ลีนุกซ์รุ่นหลักๆ เช่น Debian, Red Hat, SUSE และ Ubuntu จึงได้ออกคำแนะนำเกี่ยวกับข้อบกพร่องด้านความปลอดภัยเหล่านี้โดยทันที เราขอแนะนำให้ผู้ใช้อัปเดตระบบของตนเป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่เหล่านี้
การตรวจจับและภัยคุกคามที่คล้ายกัน
ชื่อการตรวจจับมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ยังไม่มีการเปิดเผยอย่างกว้างขวาง อย่างไรก็ตาม เนื่องจากลักษณะของช่องโหว่ Shim RCE ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหาคำขอ HTTP และเพย์โหลดที่น่าสงสัย ภัยคุกคามที่คล้ายกันซึ่งใช้ประโยชน์จากช่องโหว่ของ Bootloader อาจรวมถึงการโจมตีเฟิร์มแวร์ UEFI หรือส่วนประกอบที่สำคัญอื่น ๆ ของกระบวนการบู๊ต
คู่มือการกำจัด
เนื่องจากลักษณะของช่องโหว่ที่ระบุใน shim เวอร์ชัน 15.8 คู่มือการลบที่ครอบคลุมจึงเป็นสิ่งจำเป็น ทำตามขั้นตอนเหล่านี้เพื่อให้แน่ใจว่าสามารถกำจัดภัยคุกคามที่อาจเกิดขึ้นได้อย่างสมบูรณ์:
- อัพเดตชิม: อัปเดตส่วนประกอบ shim เป็นเวอร์ชัน 15.8 หรือใหม่กว่าทันทีโดยใช้พื้นที่เก็บข้อมูลอย่างเป็นทางการสำหรับการแจกจ่าย Linux ของคุณ
- ตรวจสอบความสมบูรณ์ของระบบ: ตรวจสอบความสมบูรณ์ของไฟล์ระบบและส่วนประกอบของโปรแกรมโหลดบูตโดยใช้เครื่องมือที่ได้รับจากการกระจาย Linux ของคุณ
- การตรวจสอบเครือข่าย: ตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหาคำขอ HTTP หรือเพย์โหลดที่น่าสงสัยซึ่งอาจบ่งบอกถึงการโจมตีที่กำลังดำเนินอยู่
- ใช้แพทช์รักษาความปลอดภัย: ตรวจสอบและใช้แพทช์รักษาความปลอดภัยที่ได้รับจากการกระจาย Linux ของคุณเป็นประจำเพื่อให้แน่ใจว่ามีการป้องกันอย่างต่อเนื่อง
แนวทางปฏิบัติที่ดีที่สุดสำหรับการป้องกัน
เพื่อป้องกันการติดเชื้อในอนาคตและปรับปรุงมาตรการรักษาความปลอดภัยโดยรวมของระบบของคุณ ให้พิจารณาแนวทางปฏิบัติที่ดีที่สุดต่อไปนี้:
- อัพเดทปกติ: อัปเดตระบบปฏิบัติการ บูตโหลดเดอร์ และซอฟต์แวร์ที่ติดตั้งทั้งหมดให้ทันสมัยอยู่เสมอด้วยแพตช์รักษาความปลอดภัยล่าสุด
- การแบ่งส่วนเครือข่าย: ใช้การแบ่งส่วนเครือข่ายเพื่อจำกัดผลกระทบของการโจมตีที่อาจเกิดขึ้น และป้องกันการเคลื่อนไหวด้านข้างภายในเครือข่าย
- การศึกษาของผู้ใช้: ให้ความรู้ผู้ใช้เกี่ยวกับความสำคัญของการหลีกเลี่ยงลิงก์ ไฟล์แนบ และเว็บไซต์ที่น่าสงสัย เพื่อลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีทางวิศวกรรมสังคม
- ความปลอดภัยของเฟิร์มแวร์: อัปเดตและรักษาความปลอดภัยส่วนประกอบเฟิร์มแวร์เป็นประจำเพื่อแก้ไขช่องโหว่ที่อาจเกิดขึ้นในฮาร์ดแวร์ที่ซ่อนอยู่
สรุป
ช่องโหว่ Shim RCE ก่อให้เกิดภัยคุกคามที่สำคัญต่อความปลอดภัยของระบบ Linux และผลกระทบที่อาจเกิดขึ้นกับระบบที่หลากหลายจำเป็นต้องดำเนินการทันที โดยการปฏิบัติตามคำแนะนำในการลบที่ให้ไว้และนำแนวปฏิบัติที่ดีที่สุดในการป้องกันไปใช้ ผู้ใช้สามารถเสริมระบบของตนให้แข็งแกร่งจากภัยคุกคามทางไซเบอร์ที่สำคัญนี้ และรักษาท่าทางการป้องกันที่ยืดหยุ่นเมื่อเผชิญกับความท้าทายด้านความปลอดภัยที่เปลี่ยนแปลงไป