Vulnerabilità Critica nel Bootloader di Shim Colpisce Quasi Tutte le Distribuzioni Linux
I responsabili della manutenzione di shim hanno rilasciato la versione 15.8 per affrontare sei vulnerabilità di sicurezza, tra cui un bug critico che potrebbe aprire la strada all’esecuzione remota di codice in circostanze specifiche.
Nota come CVE-2023-40547 (CVSS score: 9.8), la vulnerabilità potrebbe essere sfruttata per ottenere un bypass di Secure Boot. Bill Demirkapi del Microsoft Security Response Center (MSRC) è stato accreditato per aver scoperto e segnalato il bug.
In una postazione condivisa su X (precedentemente Twitter) alla fine del mese scorso, Demirkapi ha affermato che la vulnerabilità “esiste in ogni bootloader Linux firmato nell’ultimo decennio”.
shim si riferisce a un pacchetto software “triviale” progettato per funzionare come bootloader di primo stadio sui sistemi Unified Extensible Firmware Interface (UEFI).
La società di sicurezza firmware Eclypsium ha affermato che CVE-2023-40547 “deriva dalla gestione del protocollo HTTP, portando a una scrittura out-of-bounds che può portare a un compromesso completo del sistema”.
Nel caso di un attacco ipotetico, un attore minaccioso sulla stessa rete potrebbe sfruttare il difetto per caricare un bootloader shim vulnerabile, o da un avversario locale con privilegi sufficienti per manipolare i dati sulla partizione EFI.
“Un attaccante potrebbe effettuare un attacco MiTM (Man-in-the-Middle) e intercettare il traffico HTTP tra la vittima e il server HTTP utilizzato per servire file per supportare il boot HTTP”, ha aggiunto l’azienda. “L’attaccante potrebbe trovarsi su qualsiasi segmento di rete tra la vittima e il server legittimo”.
Detto questo, ottenere la capacità di eseguire codice durante il processo di avvio – che avviene prima che il sistema operativo principale inizi – concede all’attaccante l’accesso totale per deployare bootkit stealthy che possono dare controllo quasi totale sull’host compromesso.
Le altre cinque vulnerabilità risolte nella versione 15.8 di shim sono le seguenti – CVE-2023-40546, CVE-2023-40548, CVE-2023-40549, CVE-2023-40550 e CVE-2023-40551. Queste presentano varie minacce alla sicurezza del sistema e necessitano di azioni di mitigazione immediate da parte degli utenti.