ל-Linux shim, פיסת קוד קטנה שהרבה הפצות לינוקס גדולות משתמשות בה במהלך תהליך האתחול המאובטח, יש בה פגיעות של ביצוע קוד מרחוק שנותנת לתוקפים דרך להשתלט על המערכות המושפעות.
כל הפצות לינוקס התומכות באתחול מאובטח, כולל רד האט, אובונטו, דביאן, ו SUSE מושפעים מהפגם, המזוהה כ-CVE-2023-40547. הפגם הוא החמור ביותר מבין שש נקודות התורפה ב-Linux shim שהתחזוקה שלה Red Hat חשפה לאחרונה - ועבורה היא הוציאה עדכון (שים 15.8). ביל דמירקאפי, חוקר ממרכז התגובה האבטחה של מיקרוסופט שגילה את הבאג ודיווח עליו ל-Red Hat, תיאר אותו כ כל מאתחול לינוקס שנחתם בעשור האחרון.
שגיאת כתיבה מחוץ לתחום
בייעוץ שלה אמרה Red Hat שהבאג קשור לקוד האתחול של shim אמון בערכים הנשלטים על ידי תוקף בעת ניתוח תגובת HTTP. "פגם זה מאפשר לתוקף ליצור בקשת HTTP זדונית ספציפית, מה שמוביל להתפשרות מערכת פרימיטיבית ומלאה בכתיבה מחוץ לתחום."
למסד הנתונים הלאומי לפגיעות (NVD) ול-Red Hat היו תפיסות שונות במקצת לגבי חומרת הפגיעות ויכולת הניצול שלה. ה NVD הקצתה את הבאג דירוג חומרה כמעט מקסימלי של 9.8 מתוך 10 בסולם CVSS 3.1 וזיהה אותו כמשהו שתוקף יכול לנצל דרך הרשת במעט מורכבות וללא צורך באינטראקציה או הרשאות משתמש.
Red Hat העניק לבאג ציון חומרה צנוע יותר של 8.3 ותיארה אותו כניתן לניצול רק דרך רשת סמוכה וכרוכה במורכבות תקיפה גבוהה. זו הייתה הערכה שמתוחזקים של הפצות הלינוקס המושפעות האחרות חלקו עם אובונטו, למשל, כינו את CVE-2023-40547 באג בחומרה "בינוני" ו-SUSE מקצה לו דירוג "חשוב" שבדרך כלל הוא נמוך בדרגה מהקריטי.
Red Hat הסבירה את ציוני החומרה השונים כך: "ציוני CVSS עבור רכיבי קוד פתוח תלויים בגורמים ספציפיים לספק (למשל גרסה או שרשרת בנייה). לכן, הציון ודירוג ההשפעה של Red Hat יכולים להיות שונים מ-NVD וספקים אחרים". גם ה-NVD וגם Red Hat הסכימו על כך שלפגיעות יש השפעה גבוהה על סודיות הנתונים, שלמותם וזמינות הנתונים.
טוען אתחול shim הוא בעצם אפליקציה קטנה הנטענת לפני מטעין האתחול הראשי של מערכת ההפעלה במערכות מבוססות Unified Extensible Firmware Interface (UEFI). הוא משמש כגשר בין קושחת UEFI למעמיסי האתחול הראשיים של מערכת ההפעלה, שבמקרה של לינוקס, הוא בדרך כלל GRUB או אתחול המערכת. תפקידו הוא לאמת את טוען האתחול הראשי של מערכת ההפעלה לפני הטעינה וההפעלה שלו.
וקטורי התקפה מרובים
חוקרים מ שרשרת אספקת תוכנה ספק האבטחה אקליפסיום זוהה שלושה שבילים שונים שתוקף יכול לקחת כדי לנצל את הפגיעות. האחת היא באמצעות התקפת אדם באמצע (MiTM), שבה היריב מיירט תעבורת HTTP בין הקורבן לשרת ה-HTTP המשרת את הקבצים לתמיכה באתחול HTTP. "התוקף יכול להיות ממוקם בכל קטע רשת בין הקורבן לשרת הלגיטימי."
תוקף עם מספיק הרשאות במערכת פגיעה יכול גם לנצל את הפגיעות באופן מקומי על ידי מניפולציה של נתונים במשתנים של ממשק קושחה להרחבה (EFI) או במחיצות EFI. "ניתן להשיג זאת באמצעות מקל USB חי של Linux. לאחר מכן ניתן לשנות את סדר האתחול כך ש-shim מרוחק ופגיע ייטען על המערכת."
תוקף באותה רשת כמו הקורבן יכול גם לתמרן את סביבת הביצוע לפני האתחול כדי לטעון בשרשרת טוען אתחול shim פגיע, אמר Eclypsium. "תוקף המנצל את הפגיעות הזו משיג שליטה על המערכת לפני טעינת הליבה, מה שאומר שיש לו גישה מוסמכת ויכולת לעקוף כל פקד המיושם על ידי הליבה ומערכת ההפעלה", ציין הספק.
חומרה מוגזמת?
עם זאת, כמה מומחי אבטחה תפסו את הפגיעות כדורשת מידה גבוהה של מורכבות ומקריות לניצול. ליונל ליטי, ארכיטקט אבטחה ראשי ב-Menlo Security, אומר שרף הניצול גבוה מכיוון שהתוקף היה צריך כבר לקבל הרשאות מנהל במכשיר פגיע. או שהם יצטרכו למקד למכשיר שמשתמש באתחול רשת וגם להיות מסוגל לבצע התקפת אדם באמצע על תעבורת הרשת המקומית של המכשיר הממוקד.
"לפי החוקר שמצא את הפגיעות, תוקף מקומי יכול לשנות את מחיצת ה-EFI כדי לשנות את רצף האתחול כדי לאחר מכן להיות מסוגל למנף את הפגיעות", אומר ליטי. "[אבל] שינוי מחיצת ה-EFI ידרוש להיות מנהל בעל הרשאה מלאה במחשב הקורבן", הוא אומר.
אם המכשיר משתמש באתחול רשת והתוקף יכול לבצע MITM על התעבורה, אז זה הזמן שבו הם יכולים למקד את הצפת המאגר. "הם היו מחזירים תגובת HTTP שגויה שתפעיל את הבאג ותיתן להם שליטה על רצף האתחול בשלב זה", אומר ליטי. הוא מוסיף שארגונים עם מחשבים המשתמשים באתחול HTTP או אתחול סביבת ביצוע לפני אתחול (PXE) צריכים להיות מודאגים, במיוחד אם התקשורת עם שרת האתחול היא בסביבה שבה יריב יכול להכניס את עצמו באמצע התעבורה.
שחר מנשה, מנהל בכיר לחקר אבטחה ב-JFrog, אומר שההערכה של רד האט לגבי חומרת הפגיעות מדויקת יותר מהציון ה"מוגזם" של NVD.
יש שני הסברים אפשריים לסתירה, הוא אומר. "NVD סיפקה את הציון על סמך מילות מפתח מהתיאור, ולא ניתוח יסודי של הפגיעות", הוא אומר. לדוגמה, בהנחה ש"בקשת HTTP זדונית" מתורגמת אוטומטית לוקטור התקפה ברשת.
NVD עשוי לרמוז גם לתרחיש במקרה הגרוע ביותר שבו מכונת הקורבן כבר מוגדרת לאתחל באמצעות HTTP משרת מחוץ לרשת המקומית ולתוקף כבר יש שליטה על שרת HTTP זה. "זהו תרחיש מאוד לא סביר שיגרום להמון צרות אפילו בלי קשר ל-CVE הזה", אומר שחר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/rce-vulnerability-in-shim-bootloader-impacts-all-linux-distros
- :יש ל
- :הוא
- :לֹא
- :איפה
- 1
- 10
- 15%
- 7
- 8
- 9
- a
- יכולת
- יכול
- גישה
- מושלם
- פי
- מדויק
- מעשים
- מוסיף
- סמוך
- מנהל
- ייעוץ
- מושפע
- מוסכם
- מאפשר
- כְּבָר
- גם
- an
- אנליזה
- ו
- כל
- האפליקציה
- ARE
- AS
- הערכה
- שהוקצה
- At
- לתקוף
- תוקף
- באופן אוטומטי
- זמינות
- בָּר
- מבוסס
- בעיקרון
- BE
- כי
- לפני
- להיות
- בֵּין
- הצעת חוק
- שניהם
- לְגַשֵׁר
- חיץ
- הצפת מאגר
- חרק
- לִבנוֹת
- אבל
- by
- קוראים
- CAN
- מקרה
- לגרום
- מרכז
- שרשרת
- השתנה
- רֹאשׁ
- עקיפה
- קוד
- תקשורת
- להשלים
- לחלוטין
- מורכבות
- רכיבים
- פשרה
- מודאג
- סודיות
- מוגדר
- לִשְׁלוֹט
- נשלט
- בקרות
- יכול
- לעצב
- קריטי
- Cve
- נתונים
- מסד נתונים
- תואר
- לסמוך
- מְתוּאָר
- תיאור
- מכשיר
- אחר
- מְנַהֵל
- גילה
- אי התאמה
- הפצות
- do
- בְּמַהֲלָך
- e
- מספיק
- סביבה
- שגיאה
- במיוחד
- אֲפִילוּ
- דוגמה
- הוצאת להורג
- מומחים
- מוסבר
- הסברים
- לנצל
- ניצול
- מנצל
- מאוד
- גורמים
- קבצים
- פגם
- בעד
- מצא
- החל מ-
- לגמרי
- פונקציה
- צבר
- רווחים
- נתן
- לתת
- נותן
- היה
- כובע
- יש
- יש
- he
- גָבוֹהַ
- מכה
- HTML
- http
- HTTPS
- מזוהה
- if
- פְּגִיעָה
- יושם
- חשוב
- in
- כולל
- למשל
- שלמות
- אינטראקציה
- מִמְשָׁק
- אל תוך
- מעורב
- הפיקו
- IT
- שֶׁלָה
- jpg
- מילות מפתח
- מוביל
- לגיטימי
- תנופה
- לינוקס
- קְצָת
- לחיות
- טוען
- המון
- מקומי
- באופן מקומי
- ממוקם
- להוריד
- מכונה
- מכונה
- ראשי
- גדול
- זדוני
- מניפולציה
- רב
- מקסימום
- מאי..
- אומר
- בינוני
- מיקרוסופט
- אמצע
- MITM
- צנוע
- לשנות
- יותר
- רוב
- מספר
- לאומי
- ליד
- צורך
- רשת
- תנועת רשת
- ניסט
- לא
- ציין
- of
- on
- ONE
- רק
- לפתוח
- קוד פתוח
- פועל
- מערכת הפעלה
- or
- להזמין
- ארגונים
- OS
- אחר
- הַחוּצָה
- בחוץ
- יותר
- עבר
- נתפס
- לְבַצֵעַ
- לְחַבֵּר
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- אפשרי
- פרימיטיבי
- קודם
- חסוי
- הרשאות
- תהליך
- ובלבד
- דירוג
- לאחרונה
- Red
- רד האט
- מרחוק
- דווח
- לבקש
- לדרוש
- מחקר
- חוקר
- תגובה
- לַחֲזוֹר
- ריצה
- s
- אמר
- אותו
- אומר
- סולם
- תרחיש
- ציון
- לבטח
- אבטחה
- קטע
- לחצני מצוקה לפנסיונרים
- רצף
- שרת
- משמש
- קשה
- משותף
- צריך
- חָתוּם
- שישה
- מעט שונה
- קטן
- משהו
- מָקוֹר
- ספציפי
- ממומן
- כזה
- לספק
- תמיכה
- מערכת
- מערכות
- לקחת
- לוקח
- יעד
- ממוקד
- מיקוד
- מֵאֲשֶׁר
- זֶה
- השמיים
- אותם
- עצמם
- אז
- לכן
- הֵם
- זֶה
- אם כי?
- דרך
- ל
- טון
- תְנוּעָה
- להפעיל
- צרה
- בוטח
- שתיים
- בדרך כלל
- אובונטו
- מאוחד
- לא סביר
- עדכון
- USB
- להשתמש
- משתמש
- שימושים
- באמצעות
- ערכים
- מוכר
- ספקים
- לאמת
- גרסה
- באמצעות
- קרבן
- פגיעויות
- פגיעות
- פגיע
- היה
- דֶרֶך..
- מתי
- אשר
- מי
- יצטרך
- עם
- היה
- לכתוב
- זפירנט
