Linux önyükleme işleminde yeni vurgulanan bir güvenlik açığı, birçok modern dağıtımın güvenlik duruşunda kritik bir zayıflık ortaya çıkarır.
Güvenli önyükleme, tam diskli şifreleme ve önyükleyici şifrelerinin yaygın olarak benimsenmesine rağmen, saldırganlar hala bu savunmaları, ilk RAM dosya sistemi (initramfs) hata ayıklama kabuğundan yararlanarak, sertleştirici tarafından bir rapora göre sertleştirme kılavuzlarında sıklıkla göz ardı edilen bir boşluktan yararlanabilirler.
Saldırı nasıl çalışır
Ubuntu, Fedora ve Debian dahil olmak üzere birçok Linux dağıtım, şifreli kök bölümü için yanlış bir şifre birden çok kez girilirse, önyükleme sırasında bir hata ayıklama kabuğunun tetiklenmesine izin verir.
| CVE | Tanım | Darbe | Etkilenen sistemler |
| CVE-2016-4484 | Cryptsetup/initramfs kök kabuğunu şifre arızası | Kök kabuğu, kalıcılık, dos | Ubuntu, Debian, Fedora, Rhel, SLES |
Bu kabuk, güvenli önyükleme etkin olsa bile erken önyükleme ortamında kök seviyesi erişim sağlar. Initramfs genellikle imzasız olduğundan, kısa fiziksel erişime sahip bir saldırgan şunları yapabilir:
- Tekrar tekrar yanlış bir şifre girerek hata ayıklama kabuğuna girin.
- Araştırma ve komut dosyaları ile hazırlanmış bir USB sürücüsü takın.
- Kalıcı kötü amaçlı yazılım veya kötü amaçlı kancalar enjekte etmek için initramf’ları açın, değiştirin ve yeniden paketleyin.
- Bir sonraki yeniden başlatmada, enjekte edilen kod, geleneksel önyükleme korumalarını atlayarak yüksek ayrıcalıklarla yürütülür.
Bu saldırı vektörü bir yazılım hatası değil, bir tasarım gözetimidir. Initramfs, dinamik donanım ve sistem yapılandırmalarını desteklemek ve bir hata ayıklama kabuğu ile sistem kurtarmaya izin vermek için varsayılan olarak imzasızdır.
Bununla birlikte, bu aynı zamanda saldırganların bir cihaza kısa bir fiziksel erişimi olduğu “kötü hizmetçi” saldırılarının kapısını açar.
Gerçek Dünya Etkisi
Güvenlik açığı CVE-2016-4484 olarak izlenir, bu da saldırganların Enter tuşunu basılı tutarak veya bagaj sırasında belirli bir süre için boş şifreler girerek nasıl bir kök kabuğu kazanabileceğini açıklar.
Bu kusur Ubuntu, Fedora, Debian ve Red Hat Enterprise Linux gibi büyük dağılımları etkiler. Initramfs ortamında kök erişimi elde edildikten sonra, saldırganlar şunları yapabilir.
- Disk içeriklerini kopyalayın, değiştirin veya yok edin.
- Kalıcı kötü amaçlı yazılım yükleyin.
- Hata ayıklama kabuğundaki ağ kurulumu aracılığıyla verileri dışarı atın.
Initramfs, donanım ve çekirdek değişikliklerini desteklemek için ana bilgisayarda oluşturulur, bu da distribütörlerin mümkün olan her yapılandırmayı imzalamasını pratik değildir.
Bu esneklik, sistem kurtarma için yararlı olsa da, imzasız değişikliklere izin vererek fiziksel güvenliği yanlışlıkla zayıflatır.
Azaltma stratejileri
- Çekirdek parametrelerini değiştirin: Hata ayıklama kabuğunun erişimini önlemek için panik = 0 (ubuntu) veya rd.shell = 0 rd.emergency = durma (kırmızı şapka) ekleyin.
- Sadece değişiklikler için değil, tüm botlar için bootloader parolası gerektirir.
- SSD yerel şifrelemesini etkinleştirin.
- Önyükleme bölümünü Luks ile şifreleyin.
- Apopt Birleşik Çekirdek görüntüleri (Clow): Çekirdek ve initramfs’i tek bir imzalı ikili olarak birleştirin.
- TPMS’den yararlanın: Önyüklemede initramfs bütünlüğünü ölçün.
Initramfs’ta bir hata ayıklama kabuğunun varlığı, özellikle fiziksel erişimi içeren senaryolarda nadiren tartışılan ancak uygulanabilir bir saldırı vektörünü temsil eder.
Güvenli önyükleme ve disk şifrelemesi hayati kalırken, savunucular gerçek sistem güvenliğini sağlamak için gözden kaçan bu boşluğu ele almalıdır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt