أنظمة لينكس من Framework تم شحنها مع ثغرة تجاوز Secure Boot

أفادت Eclypsium، وهي شركة أمان البرمجيات الثابتة، بأن حوالي 200,000 نظام لينكس تم شحنها من قبل Framework تحتوي على أصداف UEFI موقعة عرضة لتجاوز Secure Boot. هذه الأصداف، المقصودة كأدوات تشخيصية شرعية موقعة بشهادات موثوقة، تشمل أمر "memory modify" (mm) الذي يوفر وصولاً مباشراً للقراءة/الكتابة إلى ذاكرة النظام. يمكن إساءة استخدام هذه الوظيفة للكتابة فوق متغير UEFI gSecurity2 بـ NULL، مما يعطل التحقق من التوقيعات وفحوصات الوحدات أثناء عملية الإقلاع.

يهدف الهجوم إلى المتغير العالمي gSecurity2، الذي يشير إلى بروتوكول الهندسة المعمارية الأمنية المستخدم بواسطة دالة LoadImage للتحقق من التوقيعات الرقمية قبل تحميل وحدات UEFI. كما تفصل في تقرير Eclypsium، "بمجرد تحديد العنوان، يمكن لأمر mm الكتابة فوق مؤشر معالج الأمان بـ NULL أو توجيهه إلى دالة تعيد دائماً 'نجاح' دون إجراء أي تحقق." يمكن للمهاجمين تحديد المؤشر باستخدام أوامر shell UEFI، وتصحيحه لتعطيل الفحوصات، ثم تحميل bootkits أو rootkits غير موقعة. للاستمرارية، يمكنهم إسقاط نص startup.nsh لإعادة تشغيل التجاوز في كل إقلاع، مما يمنح السيطرة قبل الـ OS حتى عندما يبدو Secure Boot مفعلاً.

طورت الباحثون نصوصاً بلغة Python وshell للكشف عن أمر mm وأكدوا وجوده في أصداف موقعة من Framework، مما يؤثر على أكثر من 200,000 جهاز. بعض النماذج قد تلقت إصلاحات، مثل الإصدار 3.08 لـ Intel من الجيل 13 و3.16 لسلسلة Ryzen 7040، بينما تنتظر أخرى التحديثات. يصدر Framework تحديثات DBX لإدراج الأصداف الضعيفة في القائمة السوداء.

تبرز هذه الثغرة المخاطر المستمرة في مكونات UEFI الموقعة، مشابهة للمشكلات السابقة مثل CVE-2022-34302، CVE-2023-48733، وCVE-2024-7344. تحذر Eclypsium، "سطح الهجوم 'أسفل' نظام التشغيل، الذي يشمل البرمجيات الثابتة، ومُحملات الإقلاع، ومكونات الأجهزة، يمثل هدفاً ناضجاً للممثلين التهديديين. كما تظهر بحثنا، يمكن للمهاجمين الذين يعملون على هذا المستوى تجاوز كل ضوابط الأمان التي بنيناها فوقها تقريباً." للتخفيف، يوصي الخبراء بتحديث قوائم الإلغاء UEFI، واستخدام كلمات مرور BIOS، وإدارة مفاتيح Secure Boot المخصصة، ومسح البرمجيات الثابتة.