Обнаружена «уязвимость», позволяющая обойти шифрование диска в Linux

Новый отчет о безопасности выявил серьезную уязвимость, которая затрагивает несколько дистрибутивов Linux и которая позволяет получить доступ к системе в обход защиты шифрования диска и которая, хотя и не является сбоем в программном обеспечении как таковом, все же выявляет тревожный недостаток в мерах безопасности. «ужесточение» некоторых систем.

Исследование было проведено командой безопасности ERNW (https://insinuator.net/2025/07/insecure-boot-injecting-initramfs-from-a-debug-shell/) демонстрирует, что можно получить доступ к отладочная оболочка (debug shell) из загрузочной среды (initramfs), просто введя несколько раз неверный пароль шифрования. Все очень просто. Оттуда злоумышленник может модифицировать систему без необходимости аутентификации или взлома шифрования.

Идентифицированный вектор атаки основан на использовании initramfs, минимальной среды, которая запускается при загрузке системы для подготовки к загрузке основного ядра и которая в случаях, когда корень зашифрован, управляет вводом пароля для дешифрования. Процедура, обычная для большинства дистрибутивов Linux, которую можно использовать для выполнения различных операций, связанных с загрузкой системы.

По-видимому, после нескольких неудачных попыток аутентификации некоторые дистрибутивы разрешают доступ к оболочке, предназначенной именно для облегчения восстановления системы, но которая также может использоваться в качестве вредоносного шлюза. Для этого достаточно использовать USB-накопитель с готовыми инструментами для монтирования системы и изменения initramfs без необходимости аутентификации.

Более подробно исследователи показывают в своем отчете, как можно внедрить вредоносный скрипт, который автоматически запускается при следующей загрузке устройства после ввода правильного пароля. Этот скрипт может выполнять любое действие с повышенными привилегиями: от установки кейлоггера до открытия удаленного черного хода или кражи данных.

Что любопытно в проблеме, так это то, что она связана не с программной ошибкой, а с упущением из более расширенных руководств по безопасности, которые предусматривают рекомендации по усилению системы, такие как безопасная загрузка, полное шифрование диска и пароли в загрузчике, но забывают о риске, который связан с тем, чтобы сделать загрузку доступной. эксперты отмечают оболочку initramfs, которая в большинстве случаев не подписана и не защищена от изменений.

Фактически, из ERNW предупреждают, что ни тесты безопасности CIS, ни профили STIG NIST не упоминают этот вектор атаки, а также не обнаруживают его некоторые специализированные инструменты аудита.

В общем, устранить эту уязвимость относительно просто: достаточно настроить параметры ядра, чтобы отключить доступ к аварийной оболочке, например, добавив panic=0в системах Ubuntu или rd.shell=0 rd.emergency=haltв дистрибутивах на базе Red Hat. Безопасность также может быть усилена путем шифрования загрузочного раздела или обращения к монолитным образам с подписанными файлами initramfs, таким как Unified Kernel Images (UKI) (более точные подробности приведены в исходном сообщении).

Тем не менее, не паникуйте. Это, как и большинство других, одна из тех проблем, для использования которой требуется физический доступ к устройству, так что да, это реальная угроза, но она не направлена и не может иметь заметных последствий для обычных пользователей. Потому что, если есть физический доступ… Однако риск существует, и дистрибутивы несут ответственность за его устранение.

Редактор: AndreyEx