Το Linux UEFI bootkit Bootkitty, που ανακαλύφθηκε πρόσφατα, φαίνεται πως εκμεταλλεύεται την ευπάθεια CVE-2023-40238, γνωστή και ως LogoFAIL, για να στοχεύσει υπολογιστές που λειτουργούν με ευάλωτο firmware.
Η εταιρεία Binarly ανακάλυψε την ευπάθεια LogoFAIL τον Νοέμβριο του 2023 και προειδοποίησε για τη δυνατότητα χρήσης της σε πραγματικές επιθέσεις.
Το Bootkitty εκμεταλλεύεται την ευπάθεια LogoFAIL
Το Bootkitty ανακαλύφθηκε από την ESET, η οποία εξήγησε ότι είναι το πρώτο UEFI bootkit που στοχεύει συγκεκριμένα το Linux. Προς το παρόν, όμως, φαίνεται να είναι ένα υπό ανάπτυξη UEFI malware που λειτουργεί σε συγκεκριμένες εκδόσεις του Ubuntu.
Το LogoFAIL εντοπίζεται στον image-parsing κώδικα σε UEFI firmware images που χρησιμοποιείται από διάφορους προμηθευτές hardware και μπορεί να χρησιμοποιηθεί από κακόβουλες εικόνες ή λογότυπα που έχουν τοποθετηθεί στο EFI System Partition (ESP).
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Δείτε επίσης: WolfsBane: Νέο Linux backdoor χρησιμοποιείται από τους Κινέζους hackers Gelsemium
“Όταν αυτές οι εικόνες αναλύονται κατά την εκκίνηση, η ευπάθεια μπορεί να ενεργοποιηθεί και ένα payload (ελεγχόμενο από τον εισβολέα) μπορεί να εκτελεστεί αυθαίρετα για να παραβιάσει τη ροή εκτέλεσης και να παρακάμψει χαρακτηριστικά ασφαλείας όπως το Secure Boot, συμπεριλαμβανομένων των μηχανισμών Verified Boot“, εξήγησε προηγουμένως η Binarly.
Σύμφωνα με την τελευταία αναφορά της Binarly, το Linux UEFI bootkit Bootkitty ενσωματώνει shellcode σε αρχεία BMP (‘logofail.bmp’ και ‘logofail_fake.bmp’) για να παρακάμψει τις προστασίες Secure Boot, εισάγοντας ψεύτικα certifications στην παραλλαγή MokList.
Το αρχείο ‘logofail.bmp‘ ενσωματώνει τον shellcode στο τέλος του και, έπειτα, ένα negative height value (0xfffffd00) ενεργοποιεί την ευπάθεια κατά το parsing.
Το νόμιμο MokList αντικαθίσταται με ένα ψεύτικο certificate, εξουσιοδοτώντας ουσιαστικά ένα κακόβουλο bootloader (‘bootkit.efi’).
Μετά την εκτροπή της εκτέλεσης στο shellcode, το Bootkitty επαναφέρει τα overwritten memory locations στην ευάλωτη συνάρτηση (RLE8ToBlt) με τις αρχικές οδηγίες. Ως αποτέλεσμα, διαγράφονται τυχόν σημάδια παραβίασης.
Η Binarly λέει ότι το Bootkitty θα μπορούσε να επηρεάσει οποιαδήποτε συσκευή, που εξακολουθεί να είναι ευάλωτη στην ευπάθεια LogoFAIL. Αλλά το τρέχον shellcode αναμένει συγκεκριμένο κώδικα που χρησιμοποιείται σε firmware modules που βρίσκονται σε υπολογιστές Acer, HP, Fujitsu και Lenovo.
Δείτε επίσης: Το Ubuntu Linux επηρεάζεται από παλιό ελάττωμα στο needrestart
Η ανάλυση του αρχείου bootkit.efi έδειξε ότι οι συσκευές Lenovo που βασίζονται στο Insyde είναι οι πιο ευάλωτες, καθώς το Bootkitty αναφέρεται σε συγκεκριμένα variable names και paths που χρησιμοποιούνται από αυτήν την επωνυμία. Ωστόσο, αυτό θα μπορούσε να υποδηλώνει ότι ο προγραμματιστής απλώς δοκιμάζει το bootkit στον δικό του υπολογιστή και ότι αργότερα μπορεί να υπάρχει υποστήριξη για ένα ευρύτερο φάσμα συσκευών.
Ορισμένες ευρέως χρησιμοποιούμενες συσκευές των οποίων το τελευταίο firmware εξακολουθεί να είναι ευάλωτο στην ευπάθεια LogoFAIL, είναι: IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 και Lenovo Yoga 9-14IRP8.
Η Binarly προειδοποίησε ότι πολλά συστήματα εξακολουθούν να είναι ευάλωτα στην εν λόγω ευπάθεια, παρόλο που είναι γνωστή εδώ και πάνω από ένα χρόνο.
BootKitty Linux UEFI bootkit
Η ESET ενημέρωσε το αρχικό της άρθρο για το BootKitty, δηλώνοντας ότι το project δημιουργήθηκε από φοιτητές κυβερνοασφάλειας στο πρόγραμμα εκπαίδευσης Best of the Best (BoB) της Κορέας.
“Ο πρωταρχικός στόχος αυτού του project είναι να ευαισθητοποιήσει την κοινότητα της ασφάλειας σχετικά με πιθανούς κινδύνους και να ενθαρρύνει τη λήψη προληπτικών μέτρων για την αποφυγή παρόμοιων απειλών“, είπε το πρόγραμμα στην ESET.
Δείτε επίσης: Το νέο «Helldown» Ransomware στοχεύει VMware και Linux συστήματα
Εάν χρησιμοποιείτε μια συσκευή χωρίς διαθέσιμες ενημερώσεις ασφαλείας για την ευπάθεια LogoFAIL, περιορίστε τη φυσική πρόσβαση, ενεργοποιήστε το Secure Boot, προστατεύστε με κωδικό πρόσβασης τις ρυθμίσεις UEFI/BIOS, απενεργοποιήστε την εκκίνηση από εξωτερικά μέσα και πραγματοποιήστε λήψη ενημερώσεων firmware μόνο από τον επίσημο ιστότοπο του OEM.
Γενικές συμβουλές προστασίας Linux συστημάτων
- Διατηρήστε το σύστημά σας ενημερωμένο
- Εφαρμόστε ένα firewall
- Απενεργοποιήστε τις περιττές υπηρεσίες
- Χρησιμοποιήστε τους λογαριασμούς χρηστών αποτελεσματικά (δημιουργήστε λογαριασμούς με διαφορετικά επίπεδα πρόσβασης)
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και κρυπτογράφηση
- Παρακολουθήστε τα αρχεία καταγραφής συστήματος
- Περιορίστε τα δικαιώματα χρήστη
- Χρησιμοποιήστε λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας του συστήματός σας
- Εκπαιδεύστε τον εαυτό σας και μείνετε ενημερωμένοι για τις πιο πρόσφατες απειλές
Πηγή: www.bleepingcomputer.com