Perusahaan keamanan firmware Eclypsium menemukan bahwa sekitar 200.000 sistem Linux dari Framework menyertakan komponen UEFI yang ditandatangani rentan terhadap bypass Secure Boot. Komponen ini memungkinkan penyerang memasang bootkit persisten dengan mengeksploitasi perintah modifikasi memori. Framework sedang menangani masalah ini dengan pembaruan untuk model yang terpengaruh.
Eclypsium, perusahaan keamanan firmware, melaporkan bahwa sekitar 200.000 sistem Linux yang dikirim oleh Framework mengandung shell UEFI yang ditandatangani rentan terhadap bypass Secure Boot. Shell ini, dimaksudkan sebagai alat diagnostik sah yang ditandatangani dengan sertifikat tepercaya, mencakup perintah "memory modify" (mm) yang memberikan akses baca/tulis langsung ke memori sistem. Fungsionalitas ini dapat disalahgunakan untuk menimpa variabel UEFI gSecurity2 dengan NULL, menonaktifkan verifikasi tanda tangan dan pemeriksaan modul selama proses boot.
Serangan ini menargetkan variabel global gSecurity2, yang menunjuk ke Protokol Arsitektur Keamanan yang digunakan oleh fungsi LoadImage untuk memverifikasi tanda tangan digital sebelum memuat modul UEFI. Seperti yang dirinci dalam laporan Eclypsium, "Setelah alamat diidentifikasi, perintah mm dapat menimpa penunjuk penangan keamanan dengan NULL atau mengarahkannya ke fungsi yang selalu mengembalikan 'sukses' tanpa melakukan verifikasi apa pun." Penyerang dapat menemukan penunjuk menggunakan perintah shell UEFI, menambalnya untuk menonaktifkan pemeriksaan, dan kemudian memuat bootkit atau rootkit yang tidak ditandatangani. Untuk persistensi, mereka dapat menjatuhkan skrip startup.nsh untuk menjalankan ulang bypass pada setiap boot, memberikan kontrol pra-OS bahkan ketika Secure Boot tampak diaktifkan.
Peneliti mengembangkan skrip Python dan shell untuk mendeteksi perintah mm dan mengonfirmasi keberadaannya di shell yang ditandatangani Framework, memengaruhi lebih dari 200.000 perangkat. Beberapa model telah menerima perbaikan, seperti versi 3.08 untuk Intel Gen 13 dan 3.16 untuk seri Ryzen 7040, sementara yang lain menunggu pembaruan. Framework sedang mengeluarkan pembaruan DBX untuk memasukkan shell rentan ke daftar hitam.
Kerentanan ini menyoroti risiko berkelanjutan dalam komponen UEFI yang ditandatangani, mirip dengan masalah masa lalu seperti CVE-2022-34302, CVE-2023-48733, dan CVE-2024-7344. Eclypsium memperingatkan, "Permukaan serangan 'di bawah' sistem operasi, yang mencakup firmware, bootloader, dan komponen perangkat keras, merupakan target matang bagi pelaku ancaman. Seperti yang ditunjukkan penelitian kami, penyerang yang dapat beroperasi pada tingkat ini dapat melewati hampir setiap kontrol keamanan yang kami bangun di atasnya." Untuk mitigasi, para ahli merekomendasikan pembaruan daftar pencabutan UEFI, menggunakan kata sandi BIOS, mengelola kunci Secure Boot khusus, dan memindai firmware.