.webp?w=696&resize=696,0&ssl=1 "Linux Boot Güvenlik Açığı")
INITRAMFS manipülasyonu yoluyla bypass güvenli önyükleme korumalarına kısa fiziksel erişimi olan saldırganlara izin veren modern Linux dağıtımlarını etkileyen önemli bir güvenlik açığı.
Saldırı, önyükleme hataları sırasında erişilebilir hata ayıklama kabuklarından yararlanır ve kullanıcılar şifrelenmiş bölümler için doğru şifreler girdikten sonra bile sistem yeniden başlatmalarından kurtulan ve erişimi koruyan kalıcı kötü amaçlı yazılım enjeksiyonunu sağlar.
key Takeaways
1. Attackers with physical access can bypass Secure Boot protections by exploiting debug shells in the initramfs during boot failures.
2. Multiple incorrect password entries trigger debug access, allowing injection of persistent malware into unsigned initramfs components.
3. Ubuntu 25.04, Debian 12, Fedora 42, and AlmaLinux 10 are vulnerable; OpenSUSE Tumbleweed is protected.
4. Add kernel parameters (panic=0 for Ubuntu, rd.shell=0 rd.emergency=halt for Red Hat) to disable debug shells.
Linux Initramfs Güvenlik Açığı
Alexander Moch’a göre, güvenlik açığı ilk RAM dosya sistemine (initramfs) odaklanır, Linux önyükleme işlemleri sırasında kök bölümlerinin şifresini çözmek için kullanılan kritik bir bileşen.
Çekirdek görüntülerinin ve modüllerinin aksine, initramfs’ın kendisi tipik olarak imzasız kalır ve güvenlik zincirinde sömürülebilir bir boşluk oluşturur.
Kullanıcılar şifrelenmiş kök bölümler için yanlış şifreleri birden çok kez girdiğinde, birçok dağıtım bir zaman aşımı süresinden sonra otomatik olarak bir hata ayıklama kabuğuna düşer.
Bu hata ayıklama kabuğundan, saldırganlar özel araçlar ve komut dosyaları içeren harici USB sürücülerini monte edebilir.
Saldırı, Unmkinitramfs komutunu kullanarak InitRamf’lerin açılmasını, komut dosyalarına/ yerel alt/ dizin içine kötü amaçlı kancalar enjekte etmeyi ve değiştirilmiş initramf’lerin yeniden paketlenmesini içerir.
Moch’un araştırmasında gösterilen önemli bir senaryo şunları içerir:
Bu kötü niyetli kanca, kök bölümünün şifre çözülmesinden sonra yürütülür, dosya sistemini okuma yazma olarak geri döndürür ve kalıcı erişim oluşturur.
Saldırı, normal önyükleme sırasını takip ettiği ve imzalı çekirdek bileşenlerini değiştirmediği için geleneksel korumaları atlatır.
Çoklu dağılımlarda yapılan testler, değişen derecelerde duyarlılık ortaya çıkarmıştır.
Ubuntu 25.04, hata ayıklama kabuğu erişimi verilmeden önce sadece üç yanlış şifre denemesi gerektirirken, Debian 12, dönüş tuşunu yaklaşık bir dakika tutarak tetiklenebilir.
Fedora 42 ve Almalinux 10, varsayılan InitRamf’ler USB_STORAGE Çekirdeği modülünden yoksun olduğu için benzersiz zorluklar sunar, ancak saldırganlar Ctrl+Alt+Sil ve Kurtarma girişlerini seçerek yeniden başlatmaları tetikleyerek bunu atlatabilirler.
Özellikle, OpenSUSE Tumbleweed, varsayılan önyükleme bölüm şifreleme uygulaması nedeniyle bu saldırı vektörüne bağışık görünür.
Güvenlik açığı, güvenlik uzmanlarının “kötü hizmetçi” saldırı senaryosu olarak sınıflandırdığını ve tehlikeye atılan sistemlere geçici fiziksel erişim gerektiren temsil eder.
Hafifletme
Birkaç etkili karşı önlem bu saldırı vektörünü önleyebilir. En basit, çekirdek komut satırı parametrelerinin değiştirilmesini içerir: Ubuntu tabanlı sistemler için panik = 0 ve RD.Shell = 0 RD.Emergency = Red Hat tabanlı dağılımlar için durma.
Bu parametreler, önyükleme hataları sırasında hata ayıklama kabuğu erişimi sağlamak yerine sistemi durdurmaya zorlar. Ek koruyucu önlemler, sistem önyükleme için bootloader şifre gereksinimlerini yapılandırmak, SSD yerel şifrelemesini etkinleştirme ve önyükleme bölümleri için LUKS şifrelemesinin uygulanmasını içerir.
Gelişmiş çözümler, çekirdekleri ve initramf’leri monolitik imzalı ikili dosyalarla birleştiren Birleşik Çekirdek görüntülerini (UKIS) ve InitRamfs bütünlüğünü platform yapılandırma kayıtlarına (PCR) ölçmek için güvenilir platform modüllerini (TPMS) içerir.