Casi 200.000 ordenadores Linux del fabricante estadounidense Framework se enviaron con una vulnerabilidad que permite eludir Secure Boot. El problema proviene de un comando 'memory modify' en shells UEFI firmados que puede desactivar la verificación de firmas. Framework está abordando el problema mediante actualizaciones de firmware.
El 14 de octubre de 2025, la firma de seguridad Eclypsium divulgó una vulnerabilidad significativa en los sistemas Linux de Framework, estimando que alrededor de 200.000 dispositivos están afectados. Estos incluyen varios modelos de portátiles y ordenadores de sobremesa modulares de Framework, conocidos por su reparabilidad. La falla surge de la inclusión de un comando 'memory modify' (mm) en shells UEFI firmados legítimamente, que proporciona acceso directo de lectura/escritura a la memoria del sistema para diagnósticos y depuración.
Sin embargo, este comando puede ser explotado para dirigirse a la variable gSecurity2, una parte clave del proceso de verificación de firmas de Secure Boot. Al sobrescribir gSecurity2 con NULL, los atacantes pueden desactivar las verificaciones, permitiendo que bootkits no autorizados como BlackLotus, HybridPetya y Bootkitty se carguen. Estos bootkits evaden la seguridad del sistema operativo y persisten incluso después de reinstalaciones. El ataque puede automatizarse mediante scripts de inicio para mantener la persistencia a través de reinicios.
Eclypsium explicó: «Una vez identificada la dirección, el comando mm puede sobrescribir el puntero del manejador de seguridad con NULL o redirigirlo a una función que siempre devuelve 'éxito' sin realizar ninguna verificación». Agregaron: «Este comando escribe ceros en la ubicación de memoria que contiene el puntero del manejador de seguridad, desactivando efectivamente la verificación de firmas para todas las cargas de módulos subsiguientes».
El problema no se debe a un compromiso en la cadena de suministro, sino a una omisión al incluir el comando riesgoso. Framework, una empresa con sede en EE.UU., ha iniciado la remediación. Los modelos afectados y el estado de sus correcciones incluyen:
- Framework 13 (11.ª Gen Intel): Corrección planificada en 3.24
- Framework 13 (12.ª Gen Intel): Corregido en 3.18, actualización DBX planificada en 3.19
- Framework 13 (13.ª Gen Intel): Corregido en 3.08, actualización DBX emitida en 3.09
- Framework 13 (Intel Core Ultra): Corregido en 3.06
- Framework 13 (AMD Ryzen 7040): Corregido en 3.16
- Framework 13 (AMD Ryzen AI 300): Corregido en 3.04, actualización DBX planificada en 3.05
- Framework 16 (AMD Ryzen 7040): Corregido en 3.06 (Beta), actualización DBX emitida en 3.07
- Framework Desktop (AMD Ryzen AI 300 MAX): Corregido en 3.01, actualización DBX planificada en 3.03
Los usuarios deben aplicar las actualizaciones disponibles de inmediato. Para sistemas sin parches, las recomendaciones incluyen prevenir el acceso físico y eliminar la clave DB de Framework a través de BIOS como medida temporal.