Značajna ranjivost pogađa savremene Linux distribucije, omogućavajući hakerima s kratkim fizičkim pristupom da zaobiđu zaštite Secure Boot putem manipulacije initramfs-om.
Ovaj napad iskorišćava debug shell-ove dostupne tokom grešaka pri pokretanju, omogućavajući upornu injekciju malicioznog softvera koji preživljava ponovno pokretanje sistema i održava pristup čak i nakon što korisnici unesu ispravne lozinke za šifrovane particije.
Ključni zaključci:
-
Hakeri s fizičkim pristupom mogu zaobići zaštite Secure Boot iskorišćavanjem debug shell-ova u initramfs-u tokom grešaka pri pokretanju.
-
Više pogrešnih unosa lozinke pokreće pristup putem debug shell-a, dopuštajući ubacivanje upornog malicioznog softvera u nepotpisane initramfs komponente.
-
Ubuntu 25.04, Debian 12, Fedora 42 i AlmaLinux 10 su ranjivi; OpenSUSE Tumbleweed je zaštićen.
-
Dodavanje kernel parametara (panic=0 za Ubuntu, rd.shell=0 rd.emergency=halt za sisteme zasnovane na Red Hat-u) onemogućava debug shell-ove.
Ranjivost Linux initramfs-a
Prema Aleksanderu Moču, ranjivost je usredsređena na početni RAM fajl sistem (initramfs), kritičnu komponentu koja se koristi tokom procesa pokretanja Linuxa za dekripciju sistemskih particija. Za razliku od kernel slika i modula, sam initramfs obično ostaje nepotpisan, stvarajući iskoristivu rupu u bezbjednosnom lancu. Kada korisnici unesu pogrešne lozinke više puta za šifrovane particije, mnoge distribucije automatski ulaze u debug shell nakon određenog vremenskog perioda.
Iz ovog debug shell-a, hakeri mogu montirati spoljne USB diskove koji sadrže specijalizovane alate i skripte. Napad uključuje raspakivanje initramfs-a pomoću komande unmkinitramfs, ubacivanje malicioznih „hook-ova” u direktorijum scripts/local-bottom/, i ponovno pakovanje izmijenjenog initramfs-a. Ključna skripta prikazana u Močovom istraživanju uključuje funkciju koja se izvršava nakon dekripcije particije, ponovno montira fajl sistem u režimu za čitanje/pisanje i uspostavlja trajni pristup.
Ovaj napad zaobilazi tradicionalne zaštite jer prati regularni postupak pokretanja i ne mijenja potpisane kernel komponente. Testiranja sprovedena na više distribucija otkrila su različite stepene osjetljivosti. Ubuntu 25.04 zahtijeva samo tri pogrešna pokušaja unosa lozinke prije nego što odobri pristup debug shell-u, dok se Debian 12 može pokrenuti držanjem tastera RETURN otprilike jedan minut. Fedora 42 i AlmaLinux 10 predstavljaju jedinstvene izazove jer njihov podrazumijevani initramfs ne sadrži usb_storage kernel modul, ali hakeri to mogu zaobići pokretanjem ponovnog pokretanja pomoću Ctrl+Alt+Delete i odabirom opcija za spasavanje sistema, navodi se u izvještaju.
Važno je napomenuti da OpenSUSE Tumbleweed djeluje imun na ovaj vektor napada zahvaljujući podrazumijevanoj implementaciji enkripcije boot particije. Ova ranjivost predstavlja ono što stručnjaci za bezbjednost klasifikuju kao scenario „evil maid“ napada, koji zahtijeva privremeni fizički pristup kompromitovanim sistemima.
Mitigacije
Nekoliko efikasnih mjera predostrožnosti može spriječiti ovaj vektor napada. Najjednostavnija uključuje izmjenu parametara komandne linije kernela: dodavanje panic=0 za sisteme zasnovane na Ubuntu-u i rd.shell=0 rd.emergency=halt za distribucije zasnovane na Red Hat-u. Ovi parametri primoravaju sistem da se zaustavi umjesto da pruža pristup debug shell-u tokom grešaka pri pokretanju. Dodatne zaštitne mjere uključuju konfigurisanje zahtjeva za lozinkom bootloadera za pokretanje sistema, omogućavanje nativne enkripcije SSD-a i implementaciju LUKS enkripcije za boot particije. Naprednija rješenja uključuju Unified Kernel Images (UKI), koji kombinuju kernere i initramfs u monolitske potpisane binarne fajlove, i Trusted Platform Modules (TPM) za mjerenje integriteta initramfs-a u Platform Configuration Registers (PCRs).
