Linux shim, un pequeño fragmento de código que muchas distribuciones importantes de Linux utilizan durante el proceso de arranque seguro, tiene una vulnerabilidad de ejecución remota de código que brinda a los atacantes una forma de tomar el control total de los sistemas afectados.

Todas las distribuciones de Linux que admiten el arranque seguro, incluidas Red Hat, Ubuntu, debian, y SUSE se ven afectados por la falla, identificada como CVE-2023-40547. La falla es la más grave de las seis vulnerabilidades en Linux que su mantenedor Red Hat reveló recientemente y para las cuales ha emitido una actualización (cuña 15.8). Bill Demirkapi, un investigador del Centro de Respuesta de Seguridad de Microsoft que descubrió el error y lo informó a Red Hat, lo describió como Todos los gestores de arranque de Linux firmados en la última década..

Error de escritura fuera de límites

En su aviso, Red Hat dijo que el error tenía que ver con el código de arranque de corrección que confiaba en los valores controlados por el atacante al analizar una respuesta HTTP. "Esta falla permite a un atacante crear una solicitud HTTP maliciosa específica, lo que lleva a una escritura fuera de límites completamente controlada y compromete completamente el sistema".

La base de datos nacional de vulnerabilidades (NVD) y Red Hat tenían opiniones ligeramente diferentes sobre la gravedad de la vulnerabilidad y su explotabilidad. El NVD asignó el error una calificación de gravedad casi máxima de 9.8 sobre 10 en la escala CVSS 3.1 y lo identificó como algo que un atacante podría explotar a través de la red con poca complejidad y sin necesidad de interacción ni privilegios del usuario.

Red Hat le dio al error una puntuación de gravedad más modesta de 8.3 y lo describió como explotable sólo a través de una red adyacente y que implica una alta complejidad de ataque. Fue una evaluación que los mantenedores de las otras distribuciones de Linux afectadas compartieron con Ubuntu, por ejemplo, calificando a CVE-2023-40547 como un error de gravedad “media” y SUSE asignándole una calificación de “importante” que normalmente es un nivel inferior a crítico.

Red Hat explicó así las diferentes puntuaciones de gravedad: “Las puntuaciones CVSS para componentes de código abierto dependen de factores específicos del proveedor (por ejemplo, versión o cadena de compilación). Por lo tanto, la puntuación y la calificación de impacto de Red Hat pueden ser diferentes a las de NVD y otros proveedores”. Sin embargo, tanto NVD como Red Hat coincidieron en que la vulnerabilidad tiene un alto impacto en la confidencialidad, integridad y disponibilidad de los datos.

Un cargador de arranque shim es básicamente una pequeña aplicación que se carga antes que el cargador de arranque del sistema operativo principal en sistemas basados ​​en Interfaz de firmware extensible unificada (UEFI). Actúa como un puente entre el firmware UEFI y los principales cargadores de arranque del sistema operativo, que en el caso de Linux, suele ser GRUB o arranque del sistema. Su función es verificar el gestor de arranque del sistema operativo principal antes de cargarlo y ejecutarlo.

Múltiples vectores de ataque

Investigadores de cadena de suministro de software Proveedor de seguridad Eclypsium identificado tres caminos diferentes que un atacante podría utilizar para explotar la vulnerabilidad. Uno es a través de un ataque de intermediario (MiTM), donde el adversario intercepta el tráfico HTTP entre la víctima y el servidor HTTP que sirve los archivos para admitir el arranque HTTP. "El atacante podría estar ubicado en cualquier segmento de la red entre la víctima y el servidor legítimo".

Un atacante con suficientes privilegios en un sistema vulnerable también podría explotar la vulnerabilidad localmente manipulando datos en variables de Interfaz de firmware extensible (EFI) o en las particiones EFI. “Esto se puede lograr con una memoria USB de Linux activa. Luego, el orden de inicio se puede cambiar de manera que se cargue en el sistema una corrección remota y vulnerable”.

Un atacante en la misma red que la víctima también puede manipular el entorno de ejecución previo al arranque para cargar en cadena un cargador de arranque shim vulnerable, dijo Eclypsium. "Un atacante que explota esta vulnerabilidad obtiene el control del sistema antes de que se cargue el kernel, lo que significa que tiene acceso privilegiado y la capacidad de eludir cualquier control implementado por el kernel y el sistema operativo", señaló el proveedor.

¿Severidad exagerada?

Sin embargo, algunos expertos en seguridad percibieron que la vulnerabilidad requería un alto grado de complejidad y casualidad para explotarla. Lionel Litty, arquitecto jefe de seguridad de Menlo Security, dice que el listón de explotación es alto porque el atacante ya tendría que haber obtenido privilegios de administrador en un dispositivo vulnerable. O tendrían que apuntar a un dispositivo que utilice arranque de red y también poder realizar un ataque de intermediario en el tráfico de la red local del dispositivo objetivo.

"Según el investigador que encontró la vulnerabilidad, un atacante local puede modificar la partición EFI para modificar la secuencia de inicio y luego poder aprovechar la vulnerabilidad", dice Litty. "[Pero] modificar la partición EFI requerirá ser un administrador con todos los privilegios en la máquina víctima", dice.

Si el dispositivo utiliza el arranque de red y el atacante puede realizar MITM en el tráfico, entonces es cuando puede atacar el desbordamiento del búfer. "Devolverían una respuesta HTTP con formato incorrecto que desencadenaría el error y les daría control sobre la secuencia de inicio en este punto", dice Litty. Agrega que las organizaciones con máquinas que utilizan arranque HTTP o arranque en entorno de ejecución previo al arranque (PXE) deberían preocuparse, especialmente si la comunicación con el servidor de arranque se realiza en un entorno donde un adversario podría insertarse en medio del tráfico.

Shachar Menashe, director senior de investigación de seguridad de JFrog, dice que la evaluación de Red Hat sobre la gravedad de la vulnerabilidad es más precisa que la puntuación "sobreexagerada" de NVD.

Hay dos posibles explicaciones para la discrepancia, afirma. "NVD proporcionó la puntuación basándose en las palabras clave de la descripción y no en un análisis exhaustivo de la vulnerabilidad", afirma. Por ejemplo, suponiendo que una “solicitud HTTP maliciosa” se traduce automáticamente en un vector de ataque a la red.

NVD también puede estar aludiendo al peor de los casos, extremadamente improbable, en el que la máquina víctima ya está configurada para arrancar a través de HTTP desde un servidor fuera de la red local y el atacante ya tiene control sobre este servidor HTTP. "Este es un escenario extremadamente improbable que causaría toneladas de problemas incluso sin relación con este CVE", dice Shachar.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/rce-vulnerability-in-shim-bootloader-impacts-all-linux-distros