Dystrybucje Linuksa dotknięte luką RCE w programie ładującym Shim

Podkładka Linuksa, niewielki fragment kodu używany przez wiele głównych dystrybucji Linuksa podczas procesu bezpiecznego rozruchu, zawiera lukę umożliwiającą zdalne wykonanie kodu, która umożliwia atakującym przejęcie pełnej kontroli nad systemami, których dotyczy problem.

Wszystkie dystrybucje Linuksa obsługujące Secure Boot, w tym Red Hat, Ubuntu, Debiana, i SUSE dotknięte są luką oznaczoną jako CVE-2023-40547. Luka ta jest najpoważniejszą z sześciu luk w zabezpieczeniach podkładki Linuksa, którą niedawno ujawnił jej opiekun, firma Red Hat, i dla której wydał aktualizację (podkładka 15.8). Bill Demirkapi, badacz z Centrum reagowania na bezpieczeństwo firmy Microsoft, który odkrył błąd i zgłosił go firmie Red Hat, opisał go jako każdego programu ładującego Linuksa podpisanego w ciągu ostatniej dekady.

Błąd zapisu poza zakresem

W swoim poradniku Red Hat stwierdził, że błąd ma związek z podkładką rozruchową, która ufa wartościom kontrolowanym przez atakującego podczas analizowania odpowiedzi HTTP. „Ta wada umożliwia atakującemu spreparowanie określonego złośliwego żądania HTTP, co prowadzi do całkowicie kontrolowanego prymitywnego zapisu poza granicami i całkowitego kompromisu w systemie”.

Krajowa baza danych o lukach w zabezpieczeniach (NVD) i firma Red Hat nieco odmiennie oceniają wagę luki i możliwości jej wykorzystania. The NVD przypisał błąd uzyskał prawie maksymalną ocenę ważności wynoszącą 9.8 na 10 w skali CVSS 3.1 i zidentyfikował ją jako coś, co osoba atakująca może wykorzystać w sieci przy niewielkiej złożoności i niewymagającej interakcji ani uprawnień użytkownika.

Firma Red Hat przyznała błędowi skromniejszą ocenę ważności na poziomie 8.3 i określiła go jako możliwy do wykorzystania wyłącznie za pośrednictwem sąsiedniej sieci i wymagający dużej złożoności ataków. Była to ocena, którą opiekunowie innych dystrybucji Linuksa, których dotyczy problem, podzielili się z Ubuntu, na przykład nazywając CVE-2023-40547 błędem o „średnim” poziomie ważności, a firma SUSE przyznała mu ocenę „ważny”, która zazwyczaj jest o stopień niższa od krytycznej.

Red Hat tak wyjaśnił różne oceny ważności: „Wyniki CVSS dla komponentów open source zależą od czynników specyficznych dla dostawcy (np. wersji lub łańcucha kompilacji). Dlatego wynik i ocena wpływu firmy Red Hat mogą różnić się od wyników NVD i innych dostawców”. Zarówno NVD, jak i Red Hat zgodzili się jednak, że luka ta ma duży wpływ na poufność, integralność i dostępność danych.

Program ładujący podkładki to w zasadzie mała aplikacja, która ładuje się przed programem ładującym głównego systemu operacyjnego w systemach opartych na Unified Extensible Firmware Interface (UEFI). Działa jako pomost między oprogramowaniem sprzętowym UEFI a głównymi programami ładującymi systemu operacyjnego, którymi w przypadku Linuksa jest zazwyczaj GRUB lub rozruch systemu. Jego funkcją jest weryfikacja głównego programu ładującego systemu operacyjnego przed jego załadowaniem i uruchomieniem.

Wiele wektorów ataku

Naukowcy z łańcuch dostaw oprogramowania Zidentyfikowano dostawcę zabezpieczeń Eclypsium trzy różne ścieżki jakie osoba atakująca może wykorzystać w celu wykorzystania luki. Jednym z nich jest atak typu man-in-the-middle (MiTM), podczas którego przeciwnik przechwytuje ruch HTTP między ofiarą a serwerem HTTP obsługującym pliki obsługujące rozruch HTTP. „Napastnik może znajdować się w dowolnym segmencie sieci pomiędzy ofiarą a legalnym serwerem”.

Osoba atakująca posiadająca wystarczające uprawnienia w podatnym systemie może również wykorzystać tę lukę lokalnie, manipulując danymi w zmiennych interfejsu Extensible Firmware Interface (EFI) lub na partycjach EFI. „Można to osiągnąć za pomocą działającej pamięci USB z systemem Linux. Kolejność rozruchu można następnie zmienić w taki sposób, aby w systemie załadowana została zdalna i podatna na ataki podkładka”.

Osoba atakująca znajdująca się w tej samej sieci co ofiara może również manipulować środowiskiem wykonawczym przed uruchomieniem, aby załadować łańcuchowo podatny na ataki moduł ładujący podkładki, twierdzi Eclypsium. „Osoba atakująca wykorzystująca tę lukę uzyskuje kontrolę nad systemem przed załadowaniem jądra, co oznacza, że ​​ma uprzywilejowany dostęp i możliwość obejścia wszelkich kontroli wdrażanych przez jądro i system operacyjny” – zauważył sprzedawca.

Przesadzona dotkliwość?

Niektórzy eksperci ds. bezpieczeństwa postrzegali jednak tę lukę jako wymagającą wysokiego stopnia złożoności i przypadku, aby ją wykorzystać. Lionel Litty, główny architekt bezpieczeństwa w Menlo Security, twierdzi, że poprzeczka nadużyć jest wysoka, ponieważ osoba atakująca musiałaby już uzyskać uprawnienia administratora na podatnym urządzeniu. Albo musieliby obrać za cel urządzenie korzystające z rozruchu sieciowego, a także móc przeprowadzić atak typu „man-in-the-middle” na ruch w sieci lokalnej docelowego urządzenia.

„Według badacza, który znalazł tę lukę, lokalny atakujący może zmodyfikować partycję EFI, aby zmodyfikować sekwencję rozruchową, aby następnie móc wykorzystać lukę” – mówi Litty. „[Ale] modyfikowanie partycji EFI będzie wymagało bycia w pełni uprzywilejowanym administratorem na komputerze ofiary” – mówi.

Jeśli urządzenie korzysta z rozruchu sieciowego, a osoba atakująca może wykonać MITM w ruchu, wtedy może zaatakować przepełnienie bufora. „Zwróciliby zniekształconą odpowiedź HTTP, która uruchomiłaby błąd i dałaby im kontrolę nad sekwencją rozruchową w tym momencie” – mówi Litty. Dodaje, że organizacje posiadające maszyny korzystające z rozruchu HTTP lub rozruchu ze środowiska wykonawczego przed rozruchem (PXE) powinny się martwić, zwłaszcza jeśli komunikacja z serwerem rozruchowym odbywa się w środowisku, w którym przeciwnik mógłby wkroczyć w środek ruchu.

Shachar Menashe, starszy dyrektor ds. badań nad bezpieczeństwem w firmie JFrog, twierdzi, że ocena wagi luki przeprowadzona przez firmę Red Hat jest dokładniejsza niż „nadmiernie przesadzona” ocena NVD.

Według niego istnieją dwa możliwe wyjaśnienia tej rozbieżności. „NVD przyznało wynik na podstawie słów kluczowych z opisu, a nie na podstawie dokładnej analizy luki” – mówi. Załóżmy na przykład, że „złośliwe żądanie HTTP” automatycznie przekłada się na wektor ataku sieciowego.

NVD może również nawiązywać do niezwykle mało prawdopodobnego najgorszego scenariusza, w którym maszyna ofiary jest już skonfigurowana do uruchamiania za pośrednictwem protokołu HTTP z serwera spoza sieci lokalnej, a osoba atakująca ma już kontrolę nad tym serwerem HTTP. „To niezwykle mało prawdopodobny scenariusz, który spowodowałby mnóstwo problemów, nawet niezwiązanych z tym CVE” – mówi Shachar.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/rce-vulnerability-in-shim-bootloader-impacts-all-linux-distros