Ranjivost u popularnom programu za pokretanje dovodi do ugroženih Linux računala

Pritisak tipke za povratak 28 puta može zaobići zaštitu lozinke bootloadera Grub2 i omogućiti hakeru da instalira zlonamjerni softver na zaključani Linux sustav.

GRUB , što znači Grand Unified Bootloader, koristi većina Linux distribucija za inicijalizaciju operativnog sustava kada se računalo pokrene. Ova značajka ima značajku lozinke koja može ograničiti pristup podacima sustava za podizanje sustava, na primjer na računalima s instaliranim operacijskim sustavima.

Ova zaštita je posebno važna unutar organizacija, gdje je uobičajeno onemogućiti opcije CD-ROM-a, USB-a i mrežnog dizanja i postaviti lozinku za BIOS / UEFI firmware kako bi se osigurala računala od napadača koji bi mogli dobiti fizički pristup strojevima.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Bez ovih opcija za pokretanje sigurni, napadači ili zlonamjerni zaposlenici mogu jednostavno podići iz alternativne OS-poput Linux instalacije pohranjene na USB disk ili CD / DVD-u i pristupiti datotekama na tvrdom disku računala.

Naravno, moguće je i napadaču ukloniti pogon i smjestiti ga u drugi stroj koji nema ta ograničenja, ali može postojati i druga kontrola fizičkog pristupa kako bi se to spriječilo.

Hector Marco i Ismael Ripoll, dvojica istraživača Cybersecurity Grou p na Sveučilištu Politčcnica de València, pronašla je ranjivost cjelokupnog potkopavanja u Grub2 koja se može pokrenuti pritiskom na tipku povratnog kljuèa 28 puta kada bootloader traži korisničko ime.

Ovisno o odreðenim uvjetima, to mo¾e uzrokovati da se stroj ponovno podignete ili mogu stavite Grub u način spašavanja, pružajući neovjereni pristup moćnoj ljusci. Pomoću naredbi ove ljuske napadač može prepisati Grub2 kod učitan u RAM-u kako bi potpuno zaobišao provjeru provjere autentičnosti.

Napadač tada može vratiti Grub u normalni način rada i imati puni pristup uređivanju unosa za podizanje sustava jer je provjera autentifikacije više nije moguće izvoditi.

U ovom trenutku moguće je više scenarija napada, uključujući uništavanje svih podataka na disku, no za njihov dokaz koncepta iskorištavanja istraživači su odabrali onu koju će napredni napadači vjerojatno odabrati: instalacija zlonamjernog softvera koji bi ukrasti legitimne korisničke podatke kriptiranih kućnih mapa nakon što se prijave i otključaju.

Da biste to učinili, istraživači su prvo izmijenili postojeći unos za podizanje sustava kako bi učitali Linux kernel i pokrenuli korijensku ljusku. Zatim su ga koristili za zamjenu Mozilla Firefox knjižnice s zlonamjernom, dizajniranom za otvaranje obrnute ljuske na udaljeni poslužitelj svaki put kad korisnik pokrene preglednik.

"Kada neki korisnik izvrši Firefox, poziva se obrnuta ljuska, "Rekli su istraživači u detaljnom priopćenju svojih iskorištavanja, koje su prošli tjedan predstavili na konferenciji STIC CCN-CERT u Madridu. "U ovom trenutku svi se podaci korisnika odlikuju, omogućujući nam ukrasti bilo kakve informacije korisnika."

Modificiranje kernela za implementaciju trajnijeg programa zlonamjernih programa je također moguće, navode istraživači. "Mašta su granica."

Ranjivost, koja se prati kao CVE-2015-8370, utječe na sve verzije Grub2 od 1,98, izdane u prosincu 2009., do trenutne 2.02. Ubuntu, Red Hat, Debian i vjerojatno i druge distribucije izdali su popravke za ovaj nedostatak. Korisnici se savjetuju da što prije mogu instalirati sva ažuriranja koja primaju za grub2 paket.