لینکس ڈسٹروس شیم بوٹ لوڈر میں آر سی ای کے خطرے سے متاثر ہوا۔

لینکس ڈسٹروس شیم بوٹ لوڈر میں آر سی ای کے خطرے سے متاثر ہوا۔

ٹائم سٹیمپ: فروری 7، 2024 5:17 PM
شیم بوٹ لوڈر پلیٹو بلاکچین ڈیٹا انٹیلی جنس میں RCE کے خطرے سے لینکس ڈسٹرو متاثر ہوئے۔ عمودی تلاش۔ عی

لینکس شیم، کوڈ کا ایک چھوٹا ٹکڑا جسے بہت سے بڑے لینکس ڈسٹرو محفوظ بوٹ کے عمل کے دوران استعمال کرتے ہیں، اس میں ریموٹ کوڈ پر عمل درآمد کا خطرہ ہے جو حملہ آوروں کو متاثرہ سسٹمز پر مکمل کنٹرول حاصل کرنے کا راستہ فراہم کرتا ہے۔

لینکس کی تمام تقسیمیں جو سیکیور بوٹ کو سپورٹ کرتی ہیں، بشمول ریڈ ہیٹ, اوبنٹودبیان ، اور SUSE خامی سے متاثر ہیں، جس کی شناخت CVE-2023-40547 کے طور پر ہوئی ہے۔ یہ خامی لینکس شیم میں چھ کمزوریوں میں سب سے شدید ہے جس کا انکشاف اس کے مینٹینر Red Hat نے حال ہی میں کیا ہے - اور جس کے لیے اس نے ایک اپ ڈیٹ جاری کیا ہے (شم 15.8)۔ مائیکروسافٹ کے سیکیورٹی رسپانس سینٹر کے محقق بل ڈیمیرکاپی نے اس مسئلے کو دریافت کیا اور اسے ریڈ ہیٹ کو رپورٹ کیا ہر لینکس بوٹ لوڈر نے پچھلی دہائی میں دستخط کیے ہیں۔.

حد سے باہر لکھنے میں خرابی۔

اپنی ایڈوائزری میں ریڈ ہیٹ نے کہا کہ اس مسئلے کا تعلق شیم بوٹ کوڈ کے ساتھ ہے جو کہ HTTP ردعمل کو پارس کرتے وقت حملہ آور کے زیر کنٹرول اقدار پر بھروسہ کرتا ہے۔ "یہ خامی ایک حملہ آور کو ایک مخصوص بدنیتی پر مبنی HTTP درخواست تیار کرنے کی اجازت دیتی ہے، جس کے نتیجے میں مکمل طور پر کنٹرول شدہ حد سے باہر ابتدائی اور مکمل نظام سمجھوتہ ہوتا ہے۔"

نیشنل ولنریبلٹی ڈیٹا بیس (NVD) اور Red Hat کا کمزوری کی شدت اور اس کے استحصال پر قدرے مختلف تھا۔ دی NVD نے بگ تفویض کیا۔ CVSS 9.8 اسکیل پر 10 میں سے 3.1 کی قریب قریب زیادہ سے زیادہ شدت کی درجہ بندی اور اسے ایک ایسی چیز کے طور پر شناخت کیا جس کا حملہ آور نیٹ ورک پر بہت کم پیچیدگی کے ساتھ فائدہ اٹھا سکتا ہے اور اسے صارف کے تعامل یا مراعات کی ضرورت نہیں ہے۔

Red Hat نے بگ کو 8.3 کا زیادہ معمولی سیوریٹی سکور دیا اور اسے صرف ایک ملحقہ نیٹ ورک کے ذریعے استعمال کرنے کے قابل بتایا اور اس میں حملے کی زیادہ پیچیدگی شامل ہے۔ یہ ایک تشخیص تھا کہ دوسرے متاثرہ لینکس ڈسٹروز کے مینٹینرز نے Ubuntu کے ساتھ اشتراک کیا، مثال کے طور پر، CVE-2023-40547 کو ایک "میڈیم" سیوریٹی بگ قرار دیا اور SUSE نے اسے "اہم" درجہ بندی تفویض کی جو کہ عام طور پر اہم سے ایک درجہ کم ہوتی ہے۔

Red Hat نے اس طرح مختلف شدت کے اسکورز کی وضاحت کی: "اوپن سورس اجزاء کے لیے CVSS اسکورز وینڈر کے مخصوص عوامل پر منحصر ہیں (مثلاً ورژن یا بلڈ چین)۔ لہذا، Red Hat کا سکور اور اثر کی درجہ بندی NVD اور دیگر دکانداروں سے مختلف ہو سکتی ہے۔ NVD اور Red Hat دونوں نے اگرچہ ڈیٹا کی رازداری، سالمیت اور دستیابی پر بہت زیادہ اثر ڈالنے والے خطرے پر اتفاق کیا۔

شیم بوٹ لوڈر بنیادی طور پر ایک چھوٹی ایپ ہے جو مرکزی آپریٹنگ سسٹم بوٹ لوڈر سے پہلے یونیفائیڈ ایکسٹینسیبل فرم ویئر انٹرفیس (UEFI) پر مبنی سسٹمز پر لوڈ ہوتی ہے۔ یہ UEFI فرم ویئر اور مرکزی OS بوٹ لوڈرز کے درمیان ایک پل کا کام کرتا ہے، جو لینکس کے معاملے میں عام طور پر GRUB یا سسٹم بوٹ ہوتا ہے۔ اس کا کام مرکزی OS بوٹ لوڈر کو لوڈ کرنے اور چلانے سے پہلے اس کی تصدیق کرنا ہے۔

متعدد اٹیک ویکٹر

تحقیق کار سافٹ ویئر سپلائی چین سیکیورٹی وینڈر ایکلیپسیم کی نشاندہی کی گئی۔ تین مختلف راستے کہ ایک حملہ آور اس کمزوری سے فائدہ اٹھا سکتا ہے۔ ایک مین-ان-دی-مڈل (MiTM) حملے کے ذریعے ہوتا ہے، جہاں مخالف شکار اور HTTP سرور کے درمیان HTTP ٹریفک کو روکتا ہے جو HTTP بوٹ کو سپورٹ کرنے کے لیے فائلوں کی خدمت کرتا ہے۔ "حملہ آور شکار اور جائز سرور کے درمیان کسی بھی نیٹ ورک کے حصے پر واقع ہو سکتا ہے۔"

ایک کمزور سسٹم پر کافی مراعات کے ساتھ حملہ آور مقامی طور پر ایکسٹینسیبل فرم ویئر انٹرفیس (EFI) متغیرات یا EFI پارٹیشنز میں ڈیٹا میں ہیرا پھیری کرکے بھی کمزوری کا فائدہ اٹھا سکتا ہے۔ "یہ ایک لائیو لینکس USB اسٹک کے ساتھ پورا کیا جا سکتا ہے۔ پھر بوٹ آرڈر کو اس طرح تبدیل کیا جا سکتا ہے کہ سسٹم پر ایک ریموٹ اور کمزور شیم لوڈ ہو جائے۔

ایکلیپسیم نے کہا کہ اسی نیٹ ورک پر حملہ آور جس کا شکار ہے وہ بھی بوٹ سے پہلے کے عمل کے ماحول میں ہیرا پھیری کر کے ایک کمزور شیم بوٹ لوڈر کو چین لوڈ کر سکتا ہے۔ "ایک حملہ آور اس کمزوری کا فائدہ اٹھانے والا کرنل لوڈ ہونے سے پہلے سسٹم کا کنٹرول حاصل کر لیتا ہے، جس کا مطلب ہے کہ ان کے پاس مراعات یافتہ رسائی ہے اور وہ کرنل اور آپریٹنگ سسٹم کے ذریعے نافذ کردہ کسی بھی کنٹرول کو روکنے کی صلاحیت رکھتا ہے،" وینڈر نے نوٹ کیا۔

مبالغہ آرائی کی شدت؟

کچھ سیکورٹی ماہرین نے، اگرچہ، کمزوری کو سمجھا کہ اس سے فائدہ اٹھانے کے لیے بہت زیادہ پیچیدگی اور وقوع پذیری کی ضرورت ہوتی ہے۔ مینلو سیکیورٹی کے چیف سیکیورٹی آرکیٹیکٹ لیونل لیٹی کا کہنا ہے کہ استحصال کا بار زیادہ ہے کیونکہ حملہ آور کو پہلے سے ہی کمزور ڈیوائس پر ایڈمنسٹریٹر کی مراعات حاصل کرنے کی ضرورت ہوگی۔ یا انہیں کسی ایسے آلے کو نشانہ بنانے کی ضرورت ہوگی جو نیٹ ورک بوٹ کا استعمال کرتا ہو اور ٹارگٹڈ ڈیوائس کے مقامی نیٹ ورک ٹریفک پر مین-ان-دی-درمیان حملہ کرنے کے قابل بھی ہو۔

لیٹی کا کہنا ہے کہ "محققین کے مطابق جس نے کمزوری کا پتہ لگایا، ایک مقامی حملہ آور بوٹ کی ترتیب میں ترمیم کرنے کے لیے EFI پارٹیشن میں ترمیم کر سکتا ہے تاکہ اس خطرے سے فائدہ اٹھایا جا سکے۔" "[لیکن] EFI پارٹیشن میں ترمیم کرنے کے لیے متاثرہ مشین پر ایک مکمل مراعات یافتہ ایڈمن ہونے کی ضرورت ہوگی،" وہ کہتے ہیں۔

اگر آلہ نیٹ ورک بوٹ کا استعمال کر رہا ہے اور حملہ آور ٹریفک پر MITM کر سکتا ہے، تب وہ بفر اوور فلو کو نشانہ بنا سکتا ہے۔ لٹی کا کہنا ہے کہ "وہ ایک خراب شکل والا HTTP ردعمل واپس کریں گے جو بگ کو متحرک کرے گا اور انہیں اس مقام پر بوٹ کی ترتیب پر کنٹرول دے گا۔" انہوں نے مزید کہا کہ HTTP بوٹ یا پری بوٹ ایگزیکیوشن انوائرمنٹ (PXE) بوٹ استعمال کرنے والی مشینوں کے ساتھ تنظیموں کو فکر مند ہونا چاہئے، خاص طور پر اگر بوٹ سیور کے ساتھ مواصلت ایسے ماحول میں ہو جہاں کوئی مخالف خود کو ٹریفک کے بیچ میں داخل کر سکے۔

JFrog میں سیکورٹی ریسرچ کے سینئر ڈائریکٹر شاچر میناشے کہتے ہیں کہ خطرے کی شدت کا ریڈ ہیٹ کا اندازہ NVDs کے "زیادہ مبالغہ آمیز" اسکور سے زیادہ درست ہے۔

وہ کہتے ہیں کہ تضاد کی دو ممکنہ وضاحتیں ہیں۔ "NVD نے تفصیل سے مطلوبہ الفاظ کی بنیاد پر سکور فراہم کیا، نہ کہ کمزوری کا مکمل تجزیہ،" وہ کہتے ہیں۔ مثال کے طور پر، یہ فرض کرتے ہوئے کہ "بد نیتی پر مبنی HTTP درخواست" خود بخود نیٹ ورک اٹیک ویکٹر میں ترجمہ ہو جاتی ہے۔

NVD ایک انتہائی غیر متوقع بدترین صورتحال کی طرف بھی اشارہ کر رہا ہے جہاں متاثرہ مشین پہلے ہی مقامی نیٹ ورک سے باہر سرور سے HTTP کے ذریعے بوٹ کرنے کے لیے ترتیب دی گئی ہے اور حملہ آور کا پہلے سے ہی اس HTTP سرور پر کنٹرول ہے۔ "یہ ایک انتہائی غیر متوقع منظر ہے جو اس CVE سے غیر متعلق بھی بہت سی پریشانیوں کا باعث بنے گا،" شاچر کہتے ہیں۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا