在最近的揭露中,shim(作為 UEFI 系統第一階段引導程式的關鍵元件)的開發人員在其最新版本 15.8 中揭露了一個關鍵安全漏洞。此漏洞編號為 CVE-2023-40547,CVSS 評分為 9.8,對主要 Linux 發行版的安全構成重大威脅。此缺陷由 Microsoft 安全回應中心 (MSRC) 的 Bill Demirkapi 發現並報告,該缺陷引入了遠端程式碼執行和安全啟動繞過的可能性。這個漏洞存在於過去十年內簽署的每個 Linux 引導程式中,引起了人們對其廣泛影響的擔憂。
CVE-2023-40547 的詳細信息
此關鍵漏洞存在於 shim 的 http 啟動支援中,並由 Oracle 的 Alan Coopersmith 發現。此缺陷為處理 HTTP 回應時受控越界寫入原語打開了大門。從本質上講,它可以導致安全啟動繞過,從而可能允許攻擊者執行遠端程式碼並危害整個系統。韌體安全公司 Eclypsium 強調了 HTTP 協定處理中漏洞的根源,該漏洞會導致越界寫入,從而可能導致整個系統受到損害。
在假設的利用場景中,攻擊者可以利用此缺陷來載入受損的 shim 引導程序,從而促進網路上的中間人 (MiTM) 攻擊。該漏洞橫跨過去十年中簽署的所有 Linux 引導程序,凸顯了該漏洞的嚴重性,這意味著對廣泛的系統具有重大的潛在影響。
其他墊片漏洞
Shim 版本 15.8 不僅解決了 CVE-2023-40547,還修正了另外五個漏洞,每個漏洞都有其自己的一組潛在後果。這些漏洞包括越界讀取和寫入、緩衝區溢位以及與驗證碼和安全啟動高階目標 (SBAT) 資訊處理相關的問題。
主要 Linux 發行版的立即回應
認識到情況的嚴重性,Debian、Red Hat、SUSE 和 Ubuntu 等主要 Linux 發行版已立即發布有關這些安全漏洞的建議。強烈建議用戶將其係統更新到最新的 shim 版本,以減輕與這些漏洞相關的潛在風險。
偵測和類似威脅
利用這些漏洞的惡意軟體的檢測名稱尚未廣泛披露。但是,考慮到 Shim RCE 漏洞的性質,安全專家建議監視網路流量以查找可疑的 HTTP 請求和有效負載。利用開機載入程式漏洞的類似威脅可能包括對韌體、UEFI 或引導程序的其他關鍵元件的攻擊。
拆卸指南
由於 shim 版本 15.8 中解決的漏洞的性質,全面的刪除指南至關重要。請按照以下步驟確保完全消除任何潛在威脅:
- 更新墊片: 立即使用適用於您的 Linux 發行版的官方儲存庫將 shim 元件更新至版本 15.8 或更高版本。
- 檢查系統完整性: 使用 Linux 發行版提供的工具驗證系統檔案和引導程式元件的完整性。
- 網絡監控: 監視網路流量中是否有任何可疑的 HTTP 請求或負載,這些請求或負載可能表示正在進行的攻擊。
- 應用安全補丁: 定期檢查並套用 Linux 發行版提供的安全補丁,以確保持續的保護。
預防的最佳實踐
為了防止未來感染並增強系統的整體安全狀況,請考慮以下最佳實踐:
- 定期更新: 使用最新的安全性修補程式讓您的作業系統、開機載入程式和所有已安裝的軟體保持最新狀態。
- 網路分段: 實施網路分段以限制潛在攻擊的影響並防止網路內的橫向移動。
- 用戶教育程度: 教育使用者避免可疑連結、附件和網站的重要性,以降低成為社會工程攻擊受害者的風險。
- 韌體安全: 定期更新和保護韌體組件,以解決底層硬體中的潛在漏洞。
結論
Shim RCE 漏洞對 Linux 系統的安全構成重大威脅,其對廣泛系統的潛在影響需要立即採取行動。透過遵循提供的刪除指南並實施最佳預防實踐,使用者可以強化其係統以抵禦此關鍵的網路威脅,並在面對不斷變化的安全挑戰時保持彈性防禦態勢。