Linux contiene una falla de arranque seguro: se puede evadir con una memoria USB

Iniciado por AXCESS, Julio 07, 2025, 08:21:09 PM

Tema anterior - Siguiente tema

0 Miembros y 33 Visitantes están viendo este tema.



Los hackers con presencia física pueden eludir eficazmente las protecciones de arranque seguro en sistemas Linux modernos e inyectar malware persistente. La solución rápida consiste en modificar el kernel e impedir que el sistema acceda a una shell de depuración durante fallos de arranque.

Los discos totalmente cifrados, el arranque seguro y los gestores de arranque protegidos con contraseña no protegen a Linux de los hackers con acceso físico al sistema.

Alexander Moch, investigador de seguridad de ERNW, ha revelado una grave vulnerabilidad que afecta a distribuciones Linux modernas, como Ubuntu y Fedora.

Las medidas de seguridad de arranque pasan por alto un sutil pero serio vector de ataque: los atacantes pueden introducir comandos maliciosos en una shell de depuración que aparece tras múltiples fallos de arranque. Pueden abusar de la shell a través del sistema de archivos de RAM inicial (initramfs), que el kernel utiliza temporalmente durante el arranque para acceder a controladores y otros archivos para cargar el sistema operativo.

Los atacantes solo necesitarían un breve acceso físico para eludir las protecciones de arranque e inyectar malware persistente en los sistemas.

"En muchas distribuciones populares de Linux, el shell de depuración se puede activar de forma fiable si se ingresa varias veces una contraseña incorrecta para la partición raíz cifrada", explica Moch.

Desde allí, un atacante puede modificar el archivo initramfs e inyectar ganchos maliciosos que se ejecutan la próxima vez que la víctima arranca y desbloquea el sistema.

El arranque seguro solo comprueba la imagen del kernel y los módulos del sistema si están firmados, y la modificación del propio archivo initramfs sigue siendo posible. Por lo tanto, los atacantes pueden simplemente descomprimir el archivo initramfs, añadir scripts maliciosos y volver a empaquetarlo sin alterar las firmas comprobadas.

El atacante necesitaría preparar una unidad USB con las herramientas necesarias. El investigador demostró que el ataque funciona en Ubuntu 25.04 y Fedora 42 con particiones raíz cifradas y la configuración predeterminada. También existen shells de depuración en otras distribuciones de Linux.

Por ejemplo, en Ubuntu, el atacante pulsaría ESC cuando se le solicitara la contraseña y presionaría la combinación CTRL+C tres veces seguidas. Tras un tiempo de espera de 30 segundos, tendría que rechazar la solicitud de contraseña repetida y, a continuación, presionar CTRL+C seis veces para acceder a un shell de depuración.

El shell permitiría al atacante crear un directorio, montar una partición raíz externa desde la unidad USB y ejecutar los scripts preparados.

¿Cómo cerrar la vulnerabilidad abierta?

Según el investigador de ERNW, los ataques se pueden mitigar fácilmente implementando algunos cambios.

"La mitigación más sencilla es modificar los parámetros de la línea de comandos del kernel: añadir panic=0 para sistemas basados en Ubuntu y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta=0 rd.emergency=halt para sistemas basados en Red Hat. Esto hace que el sistema se detenga en lugar de pasar a una shell de depuración", recomienda el investigador.

De igual forma, se puede configurar el gestor de arranque para que requiera una contraseña para arrancar el sistema, en lugar de solo al modificar las entradas del gestor de arranque.

"Aún mejor, se podría habilitar el cifrado nativo del SSD. También se podría considerar cifrar la partición de arranque con LUKS", indica el aviso.

El investigador espera que el engorroso esfuerzo de combinar el kernel e initramfs en un binario monolítico firmado ayude a prevenir ataques similares en el futuro.

Las mitigaciones son sencillas y eficaces, como ajustar los parámetros del kernel, restringir el acceso al arranque o usar el cifrado completo de la partición de arranque. Sin embargo, estas medidas suelen faltar en las guías, pruebas de rendimiento y herramientas de refuerzo estándar.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta