Linux sistemleri için yaygın olarak kullanılan bootloader olan GRUB2’de 20 güvenlik açıklığından oluşan kritik bir set ortaya çıktı ve milyonlarca cihazı potansiyel güvenli önyükleme bypass ve uzaktan kod yürütme saldırılarına maruz bıraktı.
Proaktif bir sertleştirme girişimi sırasında keşfedilen bu kusurlar – 7.5’e kadar atanan CVSS puanları – dosya sistemi ayrıştırma, bellek yönetimi ve ağ yapılandırmalarını işleyen temel bileşenler.
18 Şubat 2025’te yayınlanan yamalar, JPEG işlem sırasında yığın taşmalarından UEFI güvenli önyükleme ortamlarında hafıza yolsuzluğuna kadar değişen riskleri ele almayı amaçlamaktadır.
Bootloader mimarisinde sistemik güvenlik açıkları
GRUB2 önyükleyicinin işletim sistemlerini başlatmadaki rolü, işletim sistemi korumaları etkinleşmeden önce cihaz bütünlüğünü tehlikeye atmak isteyen saldırganlar için yüksek değerli bir hedef haline getirir.
Araştırmacılar, UFS, HFS+ve Reiserfs uygulamalarında tamsayı taşma-heap yolsuzluk zincirleri dahil olmak üzere dosya sistemi sürücüleri arasında birden fazla saldırı vektörünü belirlediler.
Örneğin, CVE-2025-0677, UFS bölümlerindeki hazırlanmış semboliklerin, inode işlem sırasında tampon taşmalarını tetiklemesine izin verirken, CVE-2024-45782, yığın metadatalarının üzerine yazmak için HFS montajlarında değersiz hacim adı uzunluklarını kullanır.
Ağ önyükleme yapılandırmaları, kötü niyetli DHCP sunucularının Grub2’nin ağ yığınına büyük boy yapılandırma yollarını enjekte edebileceği ve önyükleme öncesi ortamda keyfi kod yürütülmesini sağlayabildiği CVE-2025-0624 aracılığıyla kritik risklerle karşı karşıyadır.
Yama notlarında Red Hat güvenlik mühendisi Marco A Benatto, “Bu güvenlik açığı ağ tabanlı saldırganları önyükleme sürecinin güvenli yerleşimine etkili bir şekilde dolduruyor” dedi.
Dosya sistemi ayrıştırma
Yedi güvenlik açığı, dosya sistemi sürücülerinde yetersiz sınır kontrolünden kaynaklanmaktadır.
Squash4 (CVE-2025-0678) ve JFS (CVE-2025-0685) modülleri, saldırgan kontrollü boyut değerlerinin küçük tampon tahsislerine neden olduğu benzer kusurlar sergiler, bu da dosya okumaları sırasında sınır dışı yazılara yol açar.
Benzer şekilde, ROMFS sürücüsü (CVE-2025-0686), bitişik yığın yapılarını bozarak Symlink çözünürlüğü sırasında tamsayı taşmasına izin verir.
Oracle’dan Jan Setje-Eilers, “bu güvenlik açıklarının, meşru dosya sistemi işlemlerini kullanarak geleneksel dosya bütünlüğü kontrollerini atladığını” vurguladı.
Grub2’nin JPEG görüntüleri gibi ortak formatları ele alması bile riskler ortaya koyuyor.
CVE-2024-45774, yinelenen SOF0 işaretleyicileri aracılığıyla kritik bellek bölgelerinin üzerine yazmalarını önyükleme temalarına veya EFI sistem bölümlerine nüfuz eden özel olarak hazırlanmış JPEG dosyalarını etkinleştirir.
Bu, yeniden başlatmalar veya doğrulanmış önyükleme ölçümlerinin değiştirilmesinde kalıcılığı sağlayabilir.
CVE-2025-0622’nin GPG modülü boşaltılmasında bundan sonra kullanımı dahil olmak üzere en şiddetli güvenlik açıkları, UEFI Güvenli Boot’un bütünlüğünü doğrudan tehdit eder.
Modül ejeksiyonundan sonra kanca işlevlerini ele geçirerek, saldırganlar önyükleyici ayrıcalıklarıyla haydut yükleri yürütebilirler.
Bu arada, CVE-2025-1118’in teminatsız bellek dökümü özelliği, güvenli önyükleme etkin olduğunda kriptografik sırların açığa çıkması riskleri.
Hexation, Grub2, Shim ve SBAT meta verilerinde koordineli güncellemeler gerektirir, çünkü geleneksel UEFI iptal listeleri (DBX) kullanılmayacaktır.
GRUB2 koruyucu Daniel Kiper, “Satıcılar, bileşen düzeyinde iptali uygulamak için SBAT Nesil 5 veya daha yüksek bir şekilde önyükleme artefaktlarını yeniden inşa etmeli” dedi.
Red Hat, Suse ve Oracle Linux gibi büyük dağıtımlar 25 Şubat 2025’ten itibaren yamalı paketleri piyasaya sürmeye başladı.
Yamalara rağmen, kalıntı riskler eski sistemler ve nadiren güncelleme döngülerine sahip gömülü cihazlar için kalır.
Altı güvenlik açığı bildiren Jonathan Bar veya: “Grub2’nin donanım güven zincirleriyle derin entegrasyonu, tek bir açılmamış sistemin ağ çapında güvenli önyükleme güvencelerini zayıflatabileceği anlamına geliyor.”
Nils Langius ve B Horn da dahil olmak üzere keşif ekibi, bu kusurları ortaya çıkarmak için gelişmiş Fuzz testi çerçevelerini kredilendirdi, ancak “manuel kod incelemesinin Grub2’nin karmaşıklığı göz önüne alındığında gerekli kaldığını” söyledi.
Saldırganlar giderek daha düşük seviyeli bileşenleri hedefledikçe, bu koordineli açıklama, ürün yazılımı güvenliğinde endüstriler arası işbirliğinin kritik rolünü vurgulamaktadır.
Sistem yöneticilerinin bootloader güncellemelerine öncelik vermeleri ve Mokutil gibi araçları kullanarak SBAT durumunu doğrulamaları istenirken, geliştiriciler eski kod tabanlarında modern bellek güvenli paradigmaları benimsemelidir.
Grub2 güvenlik açıkları, güvenli hesaplamada zincirin sadece ilk bağlantısı kadar güçlü olduğunu hatırlatır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free