Linux-ontwikkelaars zijn bezig met het patchen van een zeer ernstige kwetsbaarheid die in bepaalde gevallen de installatie van malware mogelijk maakt die op firmwareniveau werkt, waardoor infecties toegang krijgen tot de diepste delen van apparaten waar ze moeilijk te detecteren of te verwijderen zijn.
De kwetsbaarheid bevindt zich in een shim, wat in de context van Linux een klein onderdeel is dat vroeg in het opstartproces in de firmware draait voordat het besturingssysteem opstart. Meer specifiek speelt de pad die bij bijna alle Linux-distributies wordt geleverd een sleutelrol in Secure Boot, een beveiliging die in de meeste moderne computerapparatuur is ingebouwd om ervoor te zorgen dat elke verbinding in het opstartproces afkomstig is van een geverifieerde, vertrouwde leverancier. Succesvol misbruik van de kwetsbaarheid stelt aanvallers in staat dit mechanisme te neutraliseren door kwaadaardige firmware uit te voeren in de vroegste fasen van het opstartproces voordat de Unified Extended Firmware Interface-firmware wordt geladen en de controle overdraagt aan het besturingssysteem.
De kwetsbaarheid, bijgehouden als CVE-2023-40547, staat bekend als een bufferoverflow, een coderingsfout waarmee aanvallers code van hun keuze kunnen uitvoeren. Het bevindt zich in het deel van de shim dat het opstarten vanaf een centrale server op het netwerk afhandelt met behulp van dezelfde HTTP waarop het internet is gebaseerd. Aanvallers kunnen de kwetsbaarheid voor het uitvoeren van code in verschillende scenario’s misbruiken, bijna allemaal na een of andere vorm van succesvolle aanval op het doelapparaat of de server of het netwerk van waaruit het apparaat wordt gelanceerd.
“Een aanvaller zou het systeem moeten kunnen dwingen op te starten vanaf HTTP als dat nog niet het geval is, en in staat moeten zijn om de betreffende HTTP-server of MITM-verkeer erop te starten”, zegt Matthew Garrett, een beveiligingsontwikkelaar en een van de originele shim-auteurs, schreef hij in een internetinterview. “Een aanvaller (fysiek aanwezig of die al de root van het systeem heeft gecompromitteerd) zou dit kunnen gebruiken om veilig opstarten te ondersteunen (voegt een nieuwe opstartingang toe aan een gecontroleerde server, compromitteert een shim, voert willekeurige code uit).”
Anders gezegd, deze scenario’s omvatten:
- Het verkrijgen van de mogelijkheid om een server in gevaar te brengen of een tegenstander in het midden te spoofen om zich te richten op een apparaat dat al is geconfigureerd om met HTTP te werken
- U heeft al fysieke toegang tot het apparaat of krijgt administratieve controle door misbruik te maken van een afzonderlijke kwetsbaarheid.
Hoewel deze obstakels steil zijn, zijn ze zeker niet onmogelijk, vooral niet de mogelijkheid om een server in gevaar te brengen of zich voor te doen als een server die met apparaten communiceert via HTTP, die niet-versleuteld is en geen authenticatie vereist. Deze specifieke scenario’s kunnen nuttig zijn als een aanvaller al een bepaald toegangsniveau binnen het netwerk heeft verkregen en de controle wil overnemen over aangesloten eindgebruikersapparaten. Deze scenario’s worden echter grotendeels verholpen als de servers HTTPS gebruiken, een variant van HTTP waarbij de server zichzelf moet authenticeren. In dat geval zou de aanvaller eerst het digitale certificaat moeten vervalsen dat de server gebruikt om te bewijzen dat hij geautoriseerd is om firmware te leveren om het apparaat op te starten.
Het is ook moeilijk om fysiek toegang te krijgen tot een apparaat en dit wordt algemeen beschouwd als een reden om te overwegen dat het apparaat al gecompromitteerd is. En natuurlijk is het al moeilijk om administratieve controle te krijgen door misbruik te maken van een afzonderlijke kwetsbaarheid in het besturingssysteem, waardoor aanvallers allerlei kwaadaardige doelen kunnen bereiken.