在最近的披露中,shim(作为 UEFI 系统第一阶段引导加载程序的关键组件)的开发人员在其最新版本 15.8 中披露了一个关键安全漏洞。该漏洞编号为 CVE-2023-40547,CVSS 评分为 9.8,对主要 Linux 发行版的安全构成重大威胁。该缺陷由 Microsoft 安全响应中心 (MSRC) 的 Bill Demirkapi 发现并报告,该缺陷引入了远程代码执行和安全启动绕过的可能性。这个漏洞存在于过去十年内签署的每个 Linux 引导加载程序中,引起了人们对其广泛影响的担忧。
CVE-2023-40547 的详细信息
该关键漏洞存在于 shim 的 http 启动支持中,并由 Oracle 的 Alan Coopersmith 发现。此缺陷为处理 HTTP 响应时受控越界写入原语打开了大门。从本质上讲,它可以导致安全启动绕过,从而可能允许攻击者执行远程代码并危害整个系统。固件安全公司 Eclypsium 强调了 HTTP 协议处理中漏洞的根源,该漏洞会导致越界写入,从而可能导致整个系统受到损害。
在假设的利用场景中,攻击者可以利用此缺陷加载受损的 shim 引导加载程序,从而促进网络上的中间人 (MiTM) 攻击。该漏洞横跨过去十年中签署的所有 Linux 引导加载程序,这凸显了该漏洞的严重性,这意味着对广泛的系统具有重大的潜在影响。
其他垫片漏洞
Shim 版本 15.8 不仅解决了 CVE-2023-40547,还纠正了另外五个漏洞,每个漏洞都有其自己的一组潜在后果。这些漏洞包括越界读取和写入、缓冲区溢出以及与验证码和安全启动高级目标 (SBAT) 信息处理相关的问题。
主要 Linux 发行版的立即响应
认识到情况的严重性,Debian、Red Hat、SUSE 和 Ubuntu 等主要 Linux 发行版已立即发布有关这些安全漏洞的建议。强烈建议用户将其系统更新到最新的 shim 版本,以减轻与这些漏洞相关的潜在风险。
检测和类似威胁
利用这些漏洞的恶意软件的检测名称尚未广泛披露。但是,考虑到 Shim RCE 漏洞的性质,安全专家建议监视网络流量以查找可疑的 HTTP 请求和有效负载。利用引导加载程序漏洞的类似威胁可能包括对固件、UEFI 或引导过程的其他关键组件的攻击。
拆卸指南
由于 shim 版本 15.8 中解决的漏洞的性质,全面的删除指南至关重要。请按照以下步骤确保完全消除任何潜在威胁:
- 更新垫片: 立即使用适用于您的 Linux 发行版的官方存储库将 shim 组件更新到版本 15.8 或更高版本。
- 检查系统完整性: 使用 Linux 发行版提供的工具验证系统文件和引导加载程序组件的完整性。
- 网络监控: 监视网络流量中是否有任何可疑的 HTTP 请求或负载,这些请求或负载可能表明正在进行的攻击。
- 应用安全补丁: 定期检查并应用 Linux 发行版提供的安全补丁,以确保持续的保护。
预防的最佳实践
为了防止未来感染并增强系统的整体安全状况,请考虑以下最佳实践:
- 定期更新: 使用最新的安全补丁让您的操作系统、引导加载程序和所有已安装的软件保持最新状态。
- 网络分割: 实施网络分段以限制潜在攻击的影响并防止网络内的横向移动。
- 用户教育: 教育用户避免可疑链接、附件和网站的重要性,以降低成为社会工程攻击受害者的风险。
- 固件安全: 定期更新和保护固件组件,以解决底层硬件中的潜在漏洞。
结论
Shim RCE 漏洞对 Linux 系统的安全构成重大威胁,其对广泛系统的潜在影响需要立即采取行动。通过遵循提供的删除指南并实施最佳预防实践,用户可以强化其系统以抵御这一关键的网络威胁,并在面对不断变化的安全挑战时保持弹性防御态势。