Uma recente descoberta no mundo da cibersegurança trouxe à tona uma vulnerabilidade crítica que ameaça a segurança dos sistemas Linux.

Identificada como CVE-2023-40547, reside no Shim, um pequeno aplicativo vital para o processo de inicialização segura em muitas distribuições Linux. 

Essa falha específica de execução remota de código permite que um invasor ignore a inicialização segura e assuma o controle completo de um sistema.

Detalhes da Exploração

O Shim desempenha um papel crucial, pois contém certificados e código utilizados para verificar o bootloader durante o carregamento do sistema operacional. A vulnerabilidade foi identificada no tratamento do protocolo HTTP do Shim, resultando em uma gravação fora dos limites que pode ser explorada para execução remota de código. 

Com um score de 9.8 no sistema de pontuação comum de vulnerabilidades, conforme divulgado pelo Instituto Nacional de Padrões e Tecnologia dos EUA, a gravidade dessa falha é incontestável. 

A Red Hat, uma das principais empresas de software, classifica a vulnerabilidade como de “alta gravidade” com um escore de 8.3 no CVSS.

De acordo com a Red Hat, falha ocorre devido à confiança do suporte de inicialização do Shim em valores controlados pelo invasor ao analisar uma resposta HTTP. 

Isso possibilita que um invasor crie uma solicitação HTTP maliciosa específica, resultando em uma gravação fora dos limites completamente controlada e comprometimento total do sistema.

Impacto e Exploração

Um invasor local com privilégios suficientes pode explorar a falha modificando variáveis EFI ou dados de partição EFI. 

Por exemplo, usando uma unidade USB Linux ativa, é possível alterar a ordem de inicialização para carregar um Shim vulnerável e executar código privilegiado sem desabilitar a inicialização segura. 

Solução Proposta

A solução para mitigar essa ameaça exige não apenas a atualização do Shim para uma versão corrigida, mas também a atualização da cadeia de confiança de inicialização segura, incluindo a atualização do UEFI Secure Boot DBX (lista de revogação). Essas medidas são essenciais para garantir a integridade e segurança contínua dos sistemas Linux afetados.

A descoberta dessa falha crítica destaca a constante necessidade de vigilância e atualizações no cenário da cibersegurança. A comunidade Linux e as distribuições afetadas devem agir prontamente para implementar as correções propostas e garantir a proteção contra potenciais explorações.

Ficar por dentro de lançamentos de patches de correção por partes dos fornecedores e ainda aplicá-los de forma sistemática em um conjunto vasto de máquinas pode ser um desafio gigante sem a utilização de tecnologias para tal. 

Nós da ACSPro, indicamos o uso do Endpoint Central, para a detecção de vulnerabilidades, assim como sua aplicação sistemática.

A ACSPro é Parceira da ManageEngine no Brasil e pode oferecer soluções de segurança cibernética e gerenciamento de TI para empresas brasileiras que buscam fortalecer sua soberania digital, também possuímos serviços de consultoria e implantação de soluções de segurança da informação da ManageEngine, ajudando as empresas a desenvolver estratégias personalizadas de segurança cibernética que se adaptem às suas necessidades específicas.