Затрагивающая большинство дистрибутивов Linux критическая уязвимость обнаружена разработчиками

Разработчики обнаружили уязвимость высокой степени серьезности, которая в некоторых случаях позволяет установить вредоносное ПО, работающее на уровне прошивки. Она затрагивает большинство дистрибутивов Linux.

Затрагивающая большинство дистрибутивов Linux критическая уязвимость обнаружена разработчиками. Фото: СС0

Уязвимость заключается в прокладке, которая в контексте Linux представляет собой небольшой компонент, который запускается во встроенном ПО на ранней стадии процесса загрузки, до запуска операционной системы.

В частности, прокладка, сопровождающая практически все дистрибутивы Linux, играет решающую роль в безопасной загрузке — защите, встроенной в большинство современных вычислительных устройств, которая гарантирует, что каждое соединение в процессе загрузки поступает от проверенного, надежного поставщика.

Успешная эксплуатация уязвимости позволяет злоумышленникам нейтрализовать этот механизм, запустив вредоносную прошивку на самых ранних этапах процесса загрузки, до того, как прошивка Единого расширяемого интерфейса прошивки загрузится и передаст управление операционной системе.

Уязвимость, отслеживаемая как CVE-2023-40547, представляет собой так называемое переполнение буфера — ошибку в коде, которая позволяет злоумышленникам выполнять код по своему выбору.

Он находится в части оболочки, которая обрабатывает загрузку с центрального сервера в сети, используя тот же HTTP, на котором основан Интернет.

Злоумышленники могут использовать уязвимость выполнения кода в различных сценариях, практически все из которых следуют за той или иной формой успешного взлома либо целевого устройства, либо сервера или сети, из которой загружается устройство.

Из сообщения разработчика решений безопасности Мэтью Гарретта:

«Злоумышленнику необходимо иметь возможность заставить систему загрузиться с HTTP, если она еще этого не делает, и иметь возможность либо запустить рассматриваемый HTTP-сервер, либо передать к нему MITM-трафик. Злоумышленник (физически присутствующий или уже скомпрометировавший root в системе) может использовать это, чтобы подорвать безопасную загрузку (добавить новую загрузочную запись на сервер, который он контролирует, скомпрометировать прошивку, выполнить произвольный код).»

Если серверы используют HTTPS, злоумышленнику сначала придется подделать цифровой сертификат, поэтому атака усложняется.

Разработчики Linux находятся в процессе исправления уязвимости.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме