У нещодавньому викритті розробники shim, основного компонента, який виконує функцію завантажувача першого етапу в системах UEFI, розкрили критичну помилку безпеки у своїй останній версії 15.8. Відстежується як CVE-2023-40547, ця вразливість має оцінку CVSS 9.8, що становить значну загрозу безпеці основних дистрибутивів Linux. Виявлена та повідомлена Біллом Деміркапі з Microsoft Security Response Center (MSRC), ця вада створює потенціал для віддаленого виконання коду та обхід безпечного завантаження. Ця вразливість, присутня в кожному завантажувачі Linux, підписаному протягом останнього десятиліття, викликала занепокоєння щодо її широкого поширення.
Деталі CVE-2023-40547
Критична вразливість міститься в підтримці завантаження http shim і була виявлена Аланом Куперсмітом з Oracle. Ця вада відкриває двері для контрольованого примітиву запису поза межами під час обробки відповідей HTTP. По суті, це може призвести до обходу безпечного завантаження, потенційно дозволяючи зловмисникам виконувати віддалений код і скомпрометувати всю систему. Eclypsium, фірма з безпеки мікропрограм, підкреслила походження вразливості в обробці протоколу HTTP, що призводить до запису поза межами, що може призвести до повного злому системи.
У гіпотетичному сценарії експлойту зловмисники могли б використати цю ваду для завантаження скомпрометованого завантажувача shim, сприяючи атакам Man-in-the-Middle (MiTM) у мережі. Серйозність цієї вразливості підкреслюється тим фактом, що вона поширюється на кожен завантажувач Linux, підписаний за останнє десятиліття, що означає значний потенційний вплив на широкий спектр систем.
Додаткові вразливості Shim
Shim версії 15.8 не лише усуває CVE-2023-40547, але й усуває п’ять додаткових уразливостей, кожна з яких має власний набір потенційних наслідків. Ці вразливості включають читання та запис поза межами, переповнення буфера та проблеми, пов’язані з обробкою автентикоду та інформації Secure Boot Advanced Targeting (SBAT).
Негайні відповіді від основних дистрибутивів Linux
Усвідомлюючи серйозність ситуації, основні дистрибутиви Linux, такі як Debian, Red Hat, SUSE та Ubuntu, негайно випустили поради щодо цих недоліків безпеки. Користувачам настійно рекомендується оновити свої системи до останньої версії прокладки, щоб зменшити потенційні ризики, пов’язані з цими вразливими місцями.
Виявлення та подібні загрози
Назви виявлення зловмисного програмного забезпечення, що використовує ці вразливості, ще не розголошено широко. Однак, враховуючи природу вразливості Shim RCE, експерти з безпеки рекомендують контролювати мережевий трафік на наявність підозрілих HTTP-запитів і корисних даних. Подібні загрози, які використовують уразливості завантажувача, можуть включати атаки на вбудоване програмне забезпечення, UEFI або інші критичні компоненти процесу завантаження.
Керівництво з видалення
Через характер уразливостей, усунених у shim версії 15.8, вичерпний посібник із видалення є важливим. Виконайте наведені нижче дії, щоб повністю видалити будь-які потенційні загрози.
- Оновити Shim: Негайно оновіть компонент shim до версії 15.8 або новішої, використовуючи офіційні сховища для вашого дистрибутива Linux.
- Перевірте цілісність системи: Перевірте цілісність системних файлів і компонентів завантажувача за допомогою інструментів, які надаються вашим дистрибутивом Linux.
- Моніторинг мережі: Відстежуйте мережевий трафік на наявність будь-яких підозрілих HTTP-запитів або корисних даних, які можуть свідчити про поточну атаку.
- Застосувати виправлення безпеки: Регулярно перевіряйте та застосовуйте виправлення безпеки, які надає ваш дистрибутив Linux, щоб забезпечити постійний захист.
Найкращі методи профілактики
Щоб запобігти зараженню в майбутньому та підвищити загальну безпеку вашої системи, дотримуйтесь наведених нижче практичних порад.
- Регулярні оновлення: Оновлюйте свою операційну систему, завантажувач і все встановлене програмне забезпечення за допомогою останніх виправлень безпеки.
- Сегментація мережі: Запровадити сегментацію мережі, щоб обмежити вплив потенційних атак і запобігти бічному переміщенню всередині мережі.
- Навчання користувачів: Розкажіть користувачам про важливість уникати підозрілих посилань, вкладень і веб-сайтів, щоб зменшити ризик стати жертвою атак соціальної інженерії.
- Безпека прошивки: Регулярно оновлюйте та захищайте компоненти мікропрограми, щоб усунути потенційні вразливості базового обладнання.
Висновок
Уразливість Shim RCE становить значну загрозу безпеці систем Linux, і її потенційний вплив на широкий спектр систем вимагає негайних дій. Дотримуючись наданого посібника з видалення та застосовуючи найкращі методи запобігання, користувачі можуть зміцнити свої системи проти цієї критичної кіберзагрози та підтримувати стійкий захист перед лицем викликів безпеки, що розвиваються.