लिनक्स शिम, कोड का एक छोटा सा टुकड़ा जिसे कई प्रमुख लिनक्स डिस्ट्रोज़ सुरक्षित बूट प्रक्रिया के दौरान उपयोग करते हैं, इसमें एक रिमोट कोड निष्पादन भेद्यता होती है जो हमलावरों को प्रभावित सिस्टम का पूर्ण नियंत्रण लेने का एक तरीका देती है।
सभी लिनक्स वितरण जो सिक्योर बूट का समर्थन करते हैं, सहित कार्डिनल की टोपी, Ubuntu, डेबियन, और SUSE दोष से प्रभावित हैं, जिनकी पहचान CVE-2023-40547 के रूप में की गई है। यह दोष लिनक्स शिम में छह कमजोरियों में से सबसे गंभीर है जिसका खुलासा इसके अनुरक्षक रेड हैट ने हाल ही में किया है - और जिसके लिए उसने एक अपडेट जारी किया है (शिम 15.8). माइक्रोसॉफ्ट के सुरक्षा प्रतिक्रिया केंद्र के एक शोधकर्ता बिल डेमिरकापी, जिन्होंने बग की खोज की और रेड हैट को इसकी सूचना दी, ने इसका वर्णन इस प्रकार किया है पिछले दशक में प्रत्येक लिनक्स बूटलोडर पर हस्ताक्षर किए गए.
सीमा से बाहर लिखने में त्रुटि
रेड हैट ने अपनी सलाह में कहा कि बग HTTP प्रतिक्रिया को पार्स करते समय हमलावर-नियंत्रित मानों पर भरोसा करने वाले शिम बूट कोड से संबंधित था। "यह दोष एक हमलावर को एक विशिष्ट दुर्भावनापूर्ण HTTP अनुरोध को तैयार करने की अनुमति देता है, जिससे पूरी तरह से नियंत्रित आउट-ऑफ-बाउंड लेखन आदिम और पूर्ण सिस्टम समझौता हो जाता है।"
राष्ट्रीय भेद्यता डेटाबेस (एनवीडी) और रेड हैट का भेद्यता की गंभीरता और इसकी शोषण क्षमता पर थोड़ा अलग दृष्टिकोण था। एनवीडी ने बग सौंपा सीवीएसएस 9.8 पैमाने पर 10 में से 3.1 की लगभग अधिकतम गंभीरता रेटिंग और इसे कुछ ऐसी चीज़ के रूप में पहचाना गया जिसका एक हमलावर नेटवर्क पर थोड़ी जटिलता के साथ शोषण कर सकता है और इसके लिए किसी उपयोगकर्ता सहभागिता या विशेषाधिकार की आवश्यकता नहीं होती है।
रेड हैट ने बग को 8.3 का अधिक मामूली गंभीरता स्कोर दिया और इसे केवल आसन्न नेटवर्क के माध्यम से शोषण योग्य और उच्च हमले की जटिलता वाला बताया। यह एक मूल्यांकन था जिसे अन्य प्रभावित लिनक्स डिस्ट्रोस के अनुरक्षकों ने उबंटू के साथ साझा किया था, उदाहरण के लिए, सीवीई-2023-40547 को "मध्यम" गंभीरता वाला बग कहा गया और एसयूएसई ने इसे "महत्वपूर्ण" रेटिंग प्रदान की जो आम तौर पर महत्वपूर्ण से एक पायदान कम है।
रेड हैट ने अलग-अलग गंभीरता स्कोर को इस प्रकार समझाया: "ओपन सोर्स घटकों के लिए सीवीएसएस स्कोर विक्रेता-विशिष्ट कारकों (उदाहरण के लिए संस्करण या बिल्ड श्रृंखला) पर निर्भर करते हैं। इसलिए, रेड हैट का स्कोर और प्रभाव रेटिंग एनवीडी और अन्य विक्रेताओं से भिन्न हो सकती है।" हालाँकि एनवीडी और रेड हैट दोनों डेटा गोपनीयता, अखंडता और उपलब्धता पर उच्च प्रभाव डालने वाली भेद्यता पर सहमत थे।
शिम बूटलोडर मूल रूप से एक छोटा ऐप है जो यूनिफाइड एक्स्टेंसिबल फ़र्मवेयर इंटरफ़ेस (यूईएफआई)-आधारित सिस्टम पर मुख्य ऑपरेटिंग सिस्टम बूटलोडर से पहले लोड होता है। यह यूईएफआई फर्मवेयर और मुख्य ओएस बूटलोडर्स के बीच एक पुल के रूप में कार्य करता है, जो लिनक्स के मामले में, आमतौर पर GRUB या सिस्टम-बूट है। इसका कार्य मुख्य OS बूटलोडर को लोड करने और चलाने से पहले सत्यापित करना है।
एकाधिक आक्रमण वेक्टर
से शोधकर्ताओं सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा विक्रेता एक्लिप्सियम की पहचान की गई तीन अलग-अलग रास्ते एक हमलावर भेद्यता का फायदा उठाने के लिए इसका सहारा ले सकता है। एक मैन-इन-द-मिडिल (MiTM) हमले के माध्यम से होता है, जहां प्रतिद्वंद्वी पीड़ित और HTTP सर्वर के बीच HTTP ट्रैफ़िक को रोकता है जो HTTP बूट का समर्थन करने के लिए फ़ाइलों को प्रदान करता है। "हमलावर पीड़ित और वैध सर्वर के बीच किसी भी नेटवर्क खंड पर स्थित हो सकता है।"
एक कमजोर सिस्टम पर पर्याप्त विशेषाधिकार वाला एक हमलावर एक्स्टेंसिबल फ़र्मवेयर इंटरफ़ेस (ईएफआई) वेरिएबल्स या ईएफआई विभाजन पर डेटा में हेरफेर करके स्थानीय रूप से भेद्यता का फायदा उठा सकता है। “यह एक लाइव लिनक्स यूएसबी स्टिक के साथ पूरा किया जा सकता है। फिर बूट ऑर्डर को ऐसे बदला जा सकता है कि सिस्टम पर एक रिमोट और कमजोर शिम लोड हो जाए।
एक्लिप्सियम ने कहा कि पीड़ित के समान नेटवर्क पर एक हमलावर एक कमजोर शिम बूटलोडर को चेन-लोड करने के लिए प्री-बूट निष्पादन वातावरण में हेरफेर भी कर सकता है। विक्रेता ने कहा, "इस भेद्यता का फायदा उठाने वाला एक हमलावर कर्नेल लोड होने से पहले सिस्टम पर नियंत्रण हासिल कर लेता है, जिसका अर्थ है कि उनके पास विशेषाधिकार प्राप्त पहुंच और कर्नेल और ऑपरेटिंग सिस्टम द्वारा लागू किए गए किसी भी नियंत्रण को दरकिनार करने की क्षमता है।"
अतिरंजित गंभीरता?
हालाँकि, कुछ सुरक्षा विशेषज्ञों ने इस भेद्यता को शोषण के लिए उच्च स्तर की जटिलता और घटना की आवश्यकता के रूप में माना। मेनलो सिक्योरिटी के मुख्य सुरक्षा वास्तुकार लियोनेल लिट्टी का कहना है कि शोषण की सीमा अधिक है क्योंकि हमलावर को पहले से ही एक कमजोर डिवाइस पर प्रशासकीय विशेषाधिकार प्राप्त करने की आवश्यकता होगी। या उन्हें एक ऐसे डिवाइस को लक्षित करने की आवश्यकता होगी जो नेटवर्क बूट का उपयोग करता हो और लक्षित डिवाइस के स्थानीय नेटवर्क ट्रैफ़िक पर मैन-इन-द-मिडिल हमला करने में भी सक्षम हो।
"शोधकर्ता के अनुसार जिसने भेद्यता पाई, एक स्थानीय हमलावर बूट अनुक्रम को संशोधित करने के लिए ईएफआई विभाजन को संशोधित कर सकता है, फिर भेद्यता का लाभ उठाने में सक्षम हो सकता है," लिट्टी कहते हैं। "[लेकिन] ईएफआई विभाजन को संशोधित करने के लिए पीड़ित मशीन पर पूरी तरह से विशेषाधिकार प्राप्त व्यवस्थापक होने की आवश्यकता होगी," वे कहते हैं।
यदि डिवाइस नेटवर्क बूट का उपयोग कर रहा है और हमलावर ट्रैफिक पर एमआईटीएम कर सकता है, तभी वे बफर ओवरफ्लो को लक्षित कर सकते हैं। लिट्टी का कहना है, "वे एक विकृत HTTP प्रतिक्रिया लौटाएंगे जो बग को ट्रिगर करेगा और उन्हें इस बिंदु पर बूट अनुक्रम पर नियंत्रण देगा।" वह कहते हैं कि HTTP बूट या प्री-बूट निष्पादन वातावरण (पीएक्सई) बूट का उपयोग करने वाली मशीनों वाले संगठनों को चिंतित होना चाहिए, खासकर यदि बूट सर्वर के साथ संचार ऐसे वातावरण में है जहां एक प्रतिद्वंद्वी खुद को ट्रैफ़िक के बीच में डाल सकता है।
जेफ्रॉग में सुरक्षा अनुसंधान के वरिष्ठ निदेशक शचर मेनाशे का कहना है कि रेड हैट का भेद्यता की गंभीरता का आकलन एनवीडी के "अति-अतिरंजित" स्कोर की तुलना में अधिक सटीक है।
उनका कहना है कि विसंगति के लिए दो संभावित स्पष्टीकरण हैं। वे कहते हैं, "एनवीडी ने विवरण के कीवर्ड के आधार पर स्कोर प्रदान किया, न कि भेद्यता का गहन विश्लेषण।" उदाहरण के लिए, यह मानते हुए कि "दुर्भावनापूर्ण HTTP अनुरोध" स्वचालित रूप से नेटवर्क आक्रमण वेक्टर में परिवर्तित हो जाता है।
एनवीडी एक अत्यंत असंभावित सबसे खराब स्थिति की ओर भी इशारा कर सकता है जहां पीड़ित मशीन पहले से ही स्थानीय नेटवर्क के बाहर एक सर्वर से HTTP के माध्यम से बूट करने के लिए कॉन्फ़िगर की गई है और हमलावर के पास पहले से ही इस HTTP सर्वर पर नियंत्रण है। शचर कहते हैं, "यह एक बेहद असंभावित परिदृश्य है जो इस सीवीई से असंबंधित भी बहुत सारी परेशानी पैदा करेगा।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/rce-vulnerability-in-shim-bootloader-impacts-all-linux-distros
