Linux-shim, een klein stukje code dat veel grote Linux-distributies gebruiken tijdens het veilige opstartproces, bevat een kwetsbaarheid voor het op afstand uitvoeren van code, waardoor aanvallers de volledige controle over getroffen systemen kunnen overnemen.
Alle Linux-distributies die Secure Boot ondersteunen, inclusief Red Hat, Ubuntu, debbie, en SUSE worden getroffen door de fout, geïdentificeerd als CVE-2023-40547. De fout is de ernstigste van zes kwetsbaarheden in Linux-shim die de beheerder Red Hat onlangs heeft onthuld – en waarvoor het een update heeft uitgebracht (vulring 15.8). Bill Demirkapi, een onderzoeker bij het Security Response Center van Microsoft die de bug ontdekte en aan Red Hat rapporteerde, beschrijft het als elke Linux-bootloader die het afgelopen decennium is ondertekend.
Schrijffout buiten bereik
In zijn advies zei Red Hat dat de bug te maken had met de shim-bootcode die door de aanvaller gecontroleerde waarden vertrouwde bij het parseren van een HTTP-antwoord. “Deze fout stelt een aanvaller in staat een specifiek kwaadaardig HTTP-verzoek te maken, wat leidt tot een volledig gecontroleerde out-of-bounds schrijfprimitieve en complete systeemcompromis.”
De National Vulnerability Database (NVD) en Red Hat hadden enigszins verschillende opvattingen over de ernst van de kwetsbaarheid en de exploiteerbaarheid ervan. De NVD heeft de bug toegewezen een bijna maximale ernstbeoordeling van 9.8 uit 10 op de CVSS 3.1-schaal en identificeerde het als iets dat een aanvaller via het netwerk zou kunnen misbruiken met weinig complexiteit en waarvoor geen gebruikersinteractie of rechten vereist zijn.
Red Hat gaf de bug een bescheidener ernstscore van 8.3 en beschreef deze als alleen exploiteerbaar via een aangrenzend netwerk en met een hoge aanvalscomplexiteit. Het was een beoordeling die beheerders van de andere getroffen Linux-distributies deelden met Ubuntu, bijvoorbeeld door CVE-2023-40547 een bug van "gemiddelde" ernst te noemen en SUSE er een "belangrijke" beoordeling aan toe te kennen, die doorgaans een stuk lager dan kritisch is.
Red Hat legde de verschillende ernstscores als volgt uit: “CVSS-scores voor open source-componenten zijn afhankelijk van leveranciersspecifieke factoren (bijvoorbeeld versie of build-keten). Daarom kunnen de score en impactbeoordeling van Red Hat verschillen van die van NVD en andere leveranciers.” Zowel de NVD als Red Hat waren het er echter over eens dat de kwetsbaarheid een grote impact heeft op de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens.
Een shim-bootloader is in feite een kleine app die wordt geladen vóór de bootloader van het hoofdbesturingssysteem op op Unified Extensible Firmware Interface (UEFI) gebaseerde systemen. Het fungeert als een brug tussen de UEFI-firmware en de belangrijkste bootloaders van het besturingssysteem, wat in het geval van Linux doorgaans GRUB of systeemboot is. De functie ervan is om de hoofdbootloader van het besturingssysteem te verifiëren voordat deze wordt geladen en uitgevoerd.
Meerdere aanvalsvectoren
Onderzoekers van softwaretoeleveringsketen beveiligingsleverancier Eclypsium geïdentificeerd drie verschillende paden die een aanvaller kan gebruiken om het beveiligingslek te misbruiken. Eén daarvan is via een man-in-the-middle (MiTM)-aanval, waarbij de tegenstander HTTP-verkeer onderschept tussen het slachtoffer en de HTTP-server die de bestanden aanbiedt om HTTP-opstarten te ondersteunen. “De aanvaller kan zich op elk netwerksegment tussen het slachtoffer en de legitieme server bevinden.”
Een aanvaller met voldoende bevoegdheden op een kwetsbaar systeem kan het beveiligingslek ook lokaal misbruiken door gegevens in EFI-variabelen (Extensible Firmware Interface) of op de EFI-partities te manipuleren. “Dit kan worden bereikt met een live Linux USB-stick. De opstartvolgorde kan vervolgens zodanig worden gewijzigd dat een afgelegen en kwetsbare shim op het systeem wordt geladen.”
Een aanvaller op hetzelfde netwerk als het slachtoffer kan ook de pre-boot-uitvoeringsomgeving manipuleren om een kwetsbare shim-bootloader te ketenladen, aldus Eclypsium. “Een aanvaller die deze kwetsbaarheid misbruikt, krijgt controle over het systeem voordat de kernel wordt geladen, wat betekent dat hij geprivilegieerde toegang heeft en de mogelijkheid heeft om alle controles die door de kernel en het besturingssysteem zijn geïmplementeerd te omzeilen”, aldus de leverancier.
Overdreven ernst?
Sommige beveiligingsexperts waren echter van mening dat de kwetsbaarheid een hoge mate van complexiteit en toeval vereiste om te kunnen misbruiken. Lionel Litty, hoofdbeveiligingsarchitect bij Menlo Security, zegt dat de lat voor misbruik hoog ligt, omdat de aanvaller al beheerdersrechten op een kwetsbaar apparaat moet hebben verkregen. Of ze moeten zich richten op een apparaat dat gebruikmaakt van netwerkopstarten en ook een man-in-the-middle-aanval kunnen uitvoeren op het lokale netwerkverkeer van het beoogde apparaat.
“Volgens de onderzoeker die de kwetsbaarheid heeft gevonden, kan een lokale aanvaller de EFI-partitie aanpassen om de opstartvolgorde aan te passen en vervolgens de kwetsbaarheid te benutten”, zegt Litty. “[Maar] voor het wijzigen van de EFI-partitie moet je een volledig bevoorrechte beheerder zijn op de slachtoffermachine”, zegt hij.
Als het apparaat netwerkopstart gebruikt en de aanvaller MITM op het verkeer kan uitvoeren, kan hij zich op dat moment richten op de bufferoverflow. “Ze retourneerden een verkeerd geformuleerd HTTP-antwoord dat de bug activeerde en hen op dit punt controle gaf over de opstartvolgorde”, zegt Litty. Hij voegt eraan toe dat organisaties met machines die gebruikmaken van HTTP-boot of pre-boot Execution Environment (PXE)-boot zich zorgen moeten maken, vooral als de communicatie met de opstartserver zich in een omgeving bevindt waarin een tegenstander zichzelf midden in het verkeer zou kunnen plaatsen.
Shachar Menashe, senior director security research bij JFrog, zegt dat de inschatting van Red Hat van de ernst van de kwetsbaarheid nauwkeuriger is dan de “overdreven” score van NVD.
Er zijn twee mogelijke verklaringen voor de discrepantie, zegt hij. “NVD leverde de score op basis van trefwoorden uit de beschrijving, en niet op een gedegen analyse van de kwetsbaarheid”, zegt hij. Ervan uitgaande dat een “kwaadaardig HTTP-verzoek” zich bijvoorbeeld automatisch vertaalt naar een netwerkaanvalvector.
NVD doelt mogelijk ook op een uiterst onwaarschijnlijk worstcasescenario waarin de machine van het slachtoffer al is geconfigureerd om via HTTP op te starten vanaf een server buiten het lokale netwerk en de aanvaller al controle heeft over deze HTTP-server. “Dit is een uiterst onwaarschijnlijk scenario dat voor veel problemen zou zorgen, zelfs als het niets met deze CVE te maken heeft”, zegt Shachar.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/rce-vulnerability-in-shim-bootloader-impacts-all-linux-distros
