Зрите в корень: уязвимость в загрузчике Linux позволяет обойти защиту Secure Boot

Отмечается, что уязвимость определена особенностями инициализации Linux-подобных систем: угрозу представляет начальная файловая система оперативной памяти initramfs, используемая для расшифровки корневых разделов. В отличие от образов ядра и модулей initramfs не подписывается, что создаёт уязвимость. Когда пользователи несколько раз вводят неверные пароли для зашифрованных корневых разделов, многие дистрибутивы автоматически переходят в отладочную оболочку по истечении периода ожидания. Именно так мошенники могут проэксплуатировать отладочные оболочки, доступные при сбоях загрузки. Это позволяет внедрять ВПО, которое сохраняется после перезагрузки системы и сохраняет доступ после того, как легитимные пользователи вводят правильные пароли для зашифрованных разделов.

С помощью отладочной оболочки злоумышленники могут подключать внешние USB-накопители, содержащие хак-инструменты и скрипты. Атака заключается в распаковке initramfs с помощью команды unmkinitramfs, внедрении вредоносных хуков в каталог scripts/local-bottom/ и повторной упаковке изменённого initramfs.

Исследователи сообщают, что в Ubuntu 25.04 требуется всего три попытки ввода неверного пароля, прежде чем будет предоставлен доступ к отладочной оболочке, в то время как в Debian 12 для этого нужно удерживать клавишу RETURN одну минуту. Примечательно, что OpenSUSE Tumbleweed, похоже, невосприимчив к этой атаке благодаря реализации шифрования загрузочного раздела по умолчанию.

Киберэксперт и инженер-аналитик компании «Газинформсервис» Ирина Дмитриева отметила, что это подчёркивает важность постоянного мониторинга безопасности и своевременного обновления программного обеспечения.

«Обнаруженная уязвимость в загрузчике Linux связана с небезопасным поведением initramfs и отладочной оболочкой, что ярко демонстрирует, насколько важно отслеживать небезопасные конфигурации в ПО и ОС. Эксплуатация мисконфигов, аналогичных переходу в отладочную оболочку при ошибках ввода пароля, позволяет внедрять стойкое ВПО, переживающее перезагрузки и сохраняющее доступ после легитимной аутентификации пользователя. Ручное исправление параметров ядра (вроде panic=0 или rd.shell=0 rd.emergency=halt в Ubuntu и RedHat) или настройка паролей загрузчика для каждой системы в парке — трудоёмкий процесс, особенно в разветвлённой инфраструктуре. Для оперативного снижения рисков необходим централизованный подход к обнаружению ошибочных настроек. Продукт от компании "Газинформсервис" Efros Defence Operations предоставляет собой платформу, которая позволяет оперативно выявлять изменения в конфигурациях и контролировать соответствие конфигураций заданным стандартам безопасности», — подытожила эксперт.