Исследователи кибербезопасности обнаружили критическую уязвимость в дистрибутивах Linux, которая может дать злоумышленникам полный доступ к системе – даже на устройствах, использующих полное шифрование диска.
Отчет, опубликованный _ERN_W, демонстрирует работу эксплойта на Ubuntu 25.04 и Fedora 42. Не все дистрибутивы Linux затронуты, например, OpenSUSE Tumbleweed не подвержен проблеме.
Как работает этот дефект безопасности?
Злоумышленники, имеющие физический доступ к системе Linux, могут получить доступ к отладочной оболочке, просто введя несколько раз подряд неправильный пароль для расшифровки. На Ubuntu они могут нажать esc в подсказке пароля, ввести несколько комбинаций клавиш, и бам: появляется отладочная оболочка.
Именно с помощью этой низкоуровневой отладочной оболочки злоумышленники могут взламывать зашифрованные системы.
Они могут подключить USB-накопитель с инструментами для изменения initramfs (Initial RAM File System – временная система, запускаемая при загрузке для подготовки основной ОС) без срабатывания флагов безопасности, поскольку initramfs не подписана.
В следующий раз, когда владелец загрузит свой ноутбук и введет правильный пароль, вредоносный код будет запущен с повышенными привилегиями, что позволит ему украсть данные, получить удаленный доступ для наблюдения за системой, запустить кейлоггер или что-то еще.
Исследователи отмечают, что эта уязвимость – не ошибка или недостаток, а скорее недосмотр и слепое пятно в том, как построены некоторые дистрибутивы Linux. Отладочная оболочка полезна для пользователей, но злоумышленники могут манипулировать ею.
Стоит ли беспокоиться пользователям Ubuntu?
Несмотря на потенциальное влияние этой уязвимости в системе безопасности Linux, большинству пользователей Ubuntu не стоит паниковать.
Атака с физическим доступом – это то, что в индустрии безопасности называют злой горничной, поскольку для ее проведения необходимо, чтобы кто-то находился в комнате с устройством (так названо, видимо, потому, что горничная отеля, имеющая доступ к комнате постояльца и ноутбуку, может подделать его, пока хозяина нет дома).
Кроме того, метод, описанный ERNW, требует наличия подготовленного USB-накопителя с необходимыми скриптами и инструментами для модификации initramfs, внедрения вредоносного кода и перепаковки, чтобы процесс загрузки работал без проблем.
Учитывая, что для этого требуются навыки и перспективное планирование, оппортунистическим злоумышленникам будет сложно использовать эту возможность. Риск больше, чем награда, если только вы не преследуете дорогостоящие бизнес-цели, IT, активистов или политиков – у обычного человека есть свои преимущества!
Наконец, защита от этой уязвимости тривиальна. Пользователи (и системные администраторы) могут изменить параметры ядра системы так, чтобы компьютер перезагружался при неудачной попытке ввода пароля, вместо того чтобы вручную предоставлять отладочную оболочку.
Наличие отладочной оболочки в initramfs представляет собой редко обсуждаемый, но жизнеспособный вектор атаки, особенно в сценариях с физическим доступом, таких как атаки «злой горничной»
- говорит Александр Мох, автор отчета ERNW
Хотя Secure Boot, шифрование всего диска и пароли загрузчика являются жизненно важными средствами защиты, они могут быть подорваны, если initramfs остается неподписанным и отлаживаемым._
Ubuntu является безопасным дистрибутивом Linux и предлагает инструменты (например, шифрование всего диска) для его дальнейшей защиты. Но этот отчет подчеркивает необходимость всегда помнить о непреднамеренных лазейках в благонамеренных функциях, которыми могут воспользоваться злоумышленники.