Trong một tiết lộ gần đây, các nhà phát triển của shim, một thành phần quan trọng đóng vai trò là bộ tải khởi động giai đoạn đầu trên hệ thống UEFI, đã tiết lộ một lỗ hổng bảo mật nghiêm trọng trong phiên bản mới nhất của họ, 15.8. Được theo dõi là CVE-2023-40547, lỗ hổng này có điểm CVSS là 9.8, gây ra mối đe dọa đáng kể đối với tính bảo mật của các bản phân phối Linux chính. Được phát hiện và báo cáo bởi Bill Demirkapi thuộc Trung tâm phản hồi bảo mật của Microsoft (MSRC), lỗ hổng này có khả năng thực thi mã từ xa và bỏ qua Khởi động an toàn. Lỗ hổng này xuất hiện trong mọi bộ tải khởi động Linux được ký trong thập kỷ qua, đã làm dấy lên mối lo ngại về tác động lan rộng của nó.
Chi tiết về CVE-2023-40547
Lỗ hổng nghiêm trọng nằm trong hỗ trợ khởi động http của shim và được Alan Coopersmith của Oracle phát hiện. Lỗ hổng này mở ra cơ hội cho việc ghi nguyên thủy ngoài giới hạn được kiểm soát khi xử lý các phản hồi HTTP. Về bản chất, nó có thể dẫn đến bỏ qua Secure Boot, có khả năng cho phép đối thủ thực thi mã từ xa và xâm phạm toàn bộ hệ thống. Eclypsium, một công ty bảo mật phần sụn, đã nhấn mạnh nguồn gốc của lỗ hổng trong việc xử lý giao thức HTTP, dẫn đến việc ghi vượt quá giới hạn có thể dẫn đến xâm phạm toàn bộ hệ thống.
Trong kịch bản khai thác giả định, kẻ tấn công có thể lợi dụng lỗ hổng này để tải bộ tải khởi động miếng chêm bị xâm phạm, tạo điều kiện cho các cuộc tấn công Man-in-the-Middle (MiTM) trên mạng. Mức độ nghiêm trọng của lỗ hổng này được nhấn mạnh bởi thực tế là nó trải dài trên mọi bộ tải khởi động Linux được ký kết trong thập kỷ qua, cho thấy tác động tiềm tàng đáng kể đối với nhiều loại hệ thống.
Các lỗ hổng Shim bổ sung
Shim phiên bản 15.8 không chỉ giải quyết CVE-2023-40547 mà còn khắc phục năm lỗ hổng bổ sung, mỗi lỗ hổng có những hậu quả tiềm ẩn riêng. Các lỗ hổng này bao gồm đọc và ghi ngoài giới hạn, tràn bộ đệm và các vấn đề liên quan đến việc xử lý mã xác thực và thông tin Nhắm mục tiêu nâng cao khởi động an toàn (SBAT).
Phản hồi ngay lập tức từ các bản phân phối Linux chính
Nhận thấy mức độ nghiêm trọng của tình hình, các bản phân phối Linux lớn như Debian, Red Hat, SUSE và Ubuntu đã nhanh chóng đưa ra lời khuyên về những lỗi bảo mật này. Người dùng được khuyến khích cập nhật hệ thống của họ lên phiên bản shim mới nhất để giảm thiểu rủi ro tiềm ẩn liên quan đến các lỗ hổng này.
Phát hiện và các mối đe dọa tương tự
Tên phát hiện của phần mềm độc hại khai thác các lỗ hổng này vẫn chưa được tiết lộ rộng rãi. Tuy nhiên, do tính chất của lỗ hổng Shim RCE, các chuyên gia bảo mật khuyên bạn nên giám sát lưu lượng mạng để phát hiện các yêu cầu và tải trọng HTTP đáng ngờ. Các mối đe dọa tương tự khai thác lỗ hổng bộ nạp khởi động có thể bao gồm các cuộc tấn công vào chương trình cơ sở, UEFI hoặc các thành phần quan trọng khác của quá trình khởi động.
Hướng dẫn loại bỏ
Do tính chất của các lỗ hổng được giải quyết trong phiên bản shim 15.8, nên cần có hướng dẫn loại bỏ toàn diện. Hãy làm theo các bước sau để đảm bảo loại bỏ hoàn toàn mọi mối đe dọa tiềm ẩn:
- Cập nhật Shim: Cập nhật ngay thành phần shim lên phiên bản 15.8 trở lên bằng cách sử dụng kho lưu trữ chính thức cho bản phân phối Linux của bạn.
- Kiểm tra tính toàn vẹn của hệ thống: Xác minh tính toàn vẹn của các tệp hệ thống và các thành phần bộ nạp khởi động bằng các công cụ do bản phân phối Linux của bạn cung cấp.
- Giám sát mạng: Giám sát lưu lượng truy cập mạng để phát hiện bất kỳ yêu cầu hoặc tải trọng HTTP đáng ngờ nào có thể cho thấy một cuộc tấn công đang diễn ra.
- Áp dụng các bản vá bảo mật: Thường xuyên kiểm tra và áp dụng các bản vá bảo mật do bản phân phối Linux của bạn cung cấp để đảm bảo sự bảo vệ liên tục.
Thực hành tốt nhất để phòng ngừa
Để ngăn chặn sự lây nhiễm trong tương lai và nâng cao trạng thái bảo mật tổng thể cho hệ thống của bạn, hãy xem xét các phương pháp hay nhất sau:
- Cập nhật thường xuyên: Luôn cập nhật hệ điều hành, bộ tải khởi động và tất cả phần mềm đã cài đặt của bạn với các bản vá bảo mật mới nhất.
- Phân đoạn mạng: Triển khai phân đoạn mạng để hạn chế tác động của các cuộc tấn công tiềm ẩn và ngăn chặn chuyển động ngang trong mạng.
- Giáo dục người dùng: Giáo dục người dùng về tầm quan trọng của việc tránh các liên kết, tệp đính kèm và trang web đáng ngờ để giảm nguy cơ trở thành nạn nhân của các cuộc tấn công kỹ thuật xã hội.
- Bảo mật phần sụn: Thường xuyên cập nhật và bảo mật các thành phần chương trình cơ sở để giải quyết các lỗ hổng tiềm ẩn trong phần cứng cơ bản.
Kết luận
Lỗ hổng Shim RCE gây ra mối đe dọa đáng kể đối với tính bảo mật của hệ thống Linux và tác động tiềm ẩn của nó đối với nhiều hệ thống đòi hỏi phải hành động ngay lập tức. Bằng cách làm theo hướng dẫn loại bỏ được cung cấp và triển khai các biện pháp phòng ngừa tốt nhất, người dùng có thể củng cố hệ thống của mình trước mối đe dọa mạng nghiêm trọng này và duy trì thế phòng thủ kiên cường trước những thách thức bảo mật ngày càng gia tăng.