Linux Shim ranjivost
Linux Shim ranjivost se odnosi na malu aplikaciju koju koriste projekti otvorenog kôda i druge treće strane za verifikaciju i pokretanje programa za podizanje sistema (eng. bootloader), obično GRUB2. Aplikacija je prvenstveno razvijena da bi se da bi se zaobišla pravna pitanja koja proizilaze iz kompatibilnosti licence.
Linux Shim ranjivost; Source: Bing Image Creator
SHIM
Shim je mala aplikacija otvorenog kôda koji održava RedHat, a dizajnirana je da olakša proces bezbjednog pokretanja na računarima koji koriste Unified Ektensible Firmvare Interface – UEFI. Alat je potpisan Microsoft ključem koji je podrazumijevano prihvaćen na većini UEFI matičnih ploča koji se koristi za verifikaciju sljedeće faze procesa pokretanja, obično učitavajući GRUB2 programa za podizanje sistema.
Shim je kreiran iz potrebe da se projektima otvorenog kôda, kao što su distribucije Linux operativnih sistema, omogući da iskoriste prednosti Secure Boot mehanizma, kao što je sprečavanje neovlaštenog ili zlonamjernog izvršavanja kôda tokom pokretanja, uz istovremeno zadržavanje kontrole nad hardverom.
SHIM RANJIVOST
Kritična ranjivost koja je otkrivena u programu za podizanje sistema Shim omogućava napadačima da izvrše kôd i preuzmu kontrolu nad ciljnim sistemom pre nego što se jezgro sistema (eng. kernel) učita, zaobilazeći postojeće bezbjednosne mehanizme.
Otkrivena ranjivost je označena kao CVE-2023-40547, omogućava napadaču da napravi posebne HTTP zahteve kako bi izazvao upisivanje van granica, potencijalno kompromitujući sistem izvršavanjem privilegovanog kôda pre nego što se operativni sistem učita.
Ranjivost je otkrio sigurnosni istraživač kompanije Microsoft Bill Demirkapi, 24. januara 2024. godine, ali je više detalja postalo dostupno 2. februara 2024. godine kada je kompanija Eclypsium objavila svoj izvještaj.
Prema izvještaju kompanija Eclypsium, CVE-2023-40547 ranjivost ima višestruku potencijal koji napadačima može omogućiti lokalno kompromitovanje, kompromitovanje susjedne mreže i udaljene tačke napada. Izvještaj ukazuje na tri potencijalna metoda:
Udaljeni napad
Udaljeni napadač može da izvrši napad čovjeka u sredini (eng. man-in-the-middle – MiTM), presrećući HTTP saobraćaj za HTTP pokretanje, potencijalno sa bilo koje mrežne pozicije između žrtve i servera. U ovom vektoru napada, zlonamjerni akter može biti lociran u bilo kom djelu mrežnog segmenta da bi izvršio ovaj napad.
Lokalni napad
Lokalni napadač sa dovoljnim privilegijama može da modifikuje EFI promjenljive ili EFI particiju koristeći live Linux USB da promjeni redosljed pokretanja i učita kompromitovani Shim, izvršavajući privilegovani kôd bez onemogućavanja Secure Boot mehanizma.
Mrežni napad
Napadač na istoj mreži može da koristi PXE za učitavanje kompromitovanog Shim programa za podizanje sistema i dobije kontrolu nad sistemom iskorišćavanjem ranjive verzije. Ovaj napad se izvršava pre nego što se jezgro operativnog sistema učita, što znači da zlonamjerni akter može da dobije privilegovani pristup sistemu koji se može koristiti da zaobiđe kontrolu jezgra operativnog sistema i kontrolu unutar samog sistema.
ZAKLJUČAK
Uticaj ove ranjivosti je značajan, pošto je izvršavanje kôda pre pokretanja operativnog sistema jedan od najjačih i najtajnijih oblika kompromitovanja sistema. RedHat se 5. decembra 2023. godine obavezao da popravi CVE-2023-40547, ali Linux distribucije koje podržavaju Secure Boot i koriste Shim moraju da objave sopstvena ažuriranja. Linux distribucije koje koriste Shim, poput RedHat, Debian, Ubuntu i SUSE distribucija, objavile su savjete sa informacijama o ranjivosti.
ZAŠTITA
Korisnicima Linux operativnog sistema se savjetuje da izvrše ažuriranje na najnoviju verziju Shim programa za podizanje sistema v15.8, koja sadrži ispravku za CVE-2023-40547 i pet drugih važnih ranjivosti.
