La vulnerabilidad crítica que afecta a la mayoría de las distribuciones de Linux permite bootkits

0
231

Por Martin Lujano

jmlujano at geekmagazine.mx

Esta semana se descubrió una vulnerabilidad crítica en las distintas versiones de Linux. Una que habilita la instalación de malware que se ejecuta a nivel de firmware, brindándole a los piratas informáticos acceso a las partes más profundas de cualquier dispositivo. De esta manera, permitiéndoles instalar un bootkit, que es un tipo de malware que se ejecuta antes de que el sistema operativo inicie.

La vulnerabilidad en cuestión es específica de Shim, una pequeña aplicación que contiene certificados y códigos para verificar el gestor de arranque.Esta función es ampliamente utilizada por la mayoría de las distribuciones basadas en Linux, ya que permite asegurar un inicio seguro del sistema. Aunque ahora, su existencia la convertiría en un riesgo significativo para los usuarios.

Es así como el problema ya terminó por afectar a un gran número dentro de la comunidad de Linux. Al tratarse de un componente que prácticamente acompaña todas las versiones alternativas del SO. Así pues, permitiendo que los atacantes eludan los mecanismos y ejecutenejecutando firmware malicioso en las primeras etapas del proceso de arranque de los dispositivos.

Ataque de desbordamiento de búfer compromete dispositivos con Linux

La amenaza identificada hasta el momento se conoce con el nombre deCVE-2023-40547 o desbordamiento de bufer. Un tipo de ataque en el se aprovecha la brechamencionada para ejecutar todo tipo de códigos maliciosos. Esto resulta en el compromiso de dispositivos, redes o incluso servidores enteros. De ahí que actualmente sea la máxima prioridad para garantizar la integridad de los usuarios de Linux.

Al menos así lo comenta Matthew Garrett, reconocido desarrollador de seguridad, quien durante una entrevista transmitió su preocupación. Es así, como afirmó que “Unatacante podría aprovechar esto para socavar el mecanismo de inicio seguro, agregar una nueva entrada de inicio hacia un servidor bajo su control, comprometer el Shim o ejecutar código malicioso”

Amenaza permitiría una acceso total al dispositivo desde el arranque

Una vez que un atacante cuenta con este nivel de acceso dentro de una red, puede tomar el control de los dispositivos conectados de los usuarios finales. Aunque el uso de HTTPS en los servidores puede ayudar a mitigar en gran medida estos problemas. Sin mencionar que el botkit asociado al CVE-2023-40547 puede eliminarse durante el borrado o formateo del disco duro.

Aun así, el hecho de obtener la capacidad de ejecutar código durante el proceso de arranque constituye un acceso importante para el atacante. Debido a que implica neutralizar cualquier forma de protección que pueda tener el dispositivo objetivo desde el inicio. Lo cual recalca el papel vital de los desarrolladores de Linux para abordar esta vulnerabilidad lo antes posible.

Desafíos en la corrección de la brecha de Linux

Según los expertos, solucionar la vulnerabilidad en Linux va más allá de simplemente eliminar el desbordamiento del búfer. TTambién implica actualizar el mecanismo de arranque seguro para revocar las versiones vulnerables del gestor de arranque. Esto último proceso conlleva riesgos, tal como comenta Paul Asadoorian (Experto en seguridad en Eclypsium).

Por ejemplo,los usuarios podrían enfrentarse a una actualización que afecta el arranque seguro y evita que la computadora se inicie correctamente. Otro desafío es el espacio limitado disponible para almacenar revocaciones en una parte del sistema conocida como DBX. Si se acumular demasiadas, el espacio puede llenarse rápidamente, lo que imposibilita la capacidad de agregar más revocaciones.

En última instancia, para garantizar la confiabilidad y seguridad de las correcciones, es necesario que sean firmadas por una autoridad certificadora de Microsoft. Actualmente, varios desarrolladores de Linux están llevando a cabo pruebas con un nuevo parche de Shims, incorporándolo en algunas versiones afectadas del sistema operativo. Un proceso que se lleva a cabo antes de que las correcciones lleguen a los usuarios finales