TLP: White
NIVEL DE RIESGO – CVSS v3.0: 8.2 [Alto]
Acción Requerida: Aplicar la actualización que corrige esta vulnerabilidad.
Vector de ataque: Local.
Impacto: Persistencia en el dispositivo afectado y ejecución arbitraria de código en el proceso de arranque.

Descripción

Un equipo de expertos en ciberseguridad ha publicado los detalles de una nueva vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos a nivel mundial, incluyendo servidores, estaciones de trabajo, computadoras de escritorio y dispositivos del Internet de las cosas (IoT) que ejecuten versiones de Windows o Linux.

La vulnerabilidad, denominada “BootHole” e identificada como CVE-2020-10713, reside en el GRand Unified Bootloader (GRUB) versión 2, el cual es un gestor de arranque múltiple. Un gestor de arranque es el primer programa que se ejecuta al iniciar el dispositivo y se encarga de cargar el sistema operativo. Muchos proveedores también usan un “shim”, un paquete de software firmado que contiene el certificado y el código del proveedor que verifica y ejecuta el gestor de arranque.

CVE-2020-10713 corresponde a una vulnerabilidad del tipo “Buffer Overflow”, que existe por la forma en la que GRUB2 analiza el archivo de configuración grub.cfg, de ser aprovechada esta vulnerabilidad podría permitir a un usuario malintencionado evadir el mecanismo de “Secure Boot” y obtener persistencia en el dispositivo afectado.

Secure Boot es una característica de seguridad de la Interfaz de firmware extensible unificada (UEFI) que utiliza un cargador de arranque para cargar componentes críticos, periféricos y el sistema operativo al tiempo que garantiza que solo se ejecute el código firmado criptográficamente durante el proceso de arranque.

Además, se identificó que esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario antes de que el sistema operativo sea cargado, haciendo que sea más difícil para los investigadores de seguridad identificar la presencia de código malicioso y realizar su posterior eliminación.

Es importante destacar que para el aprovechamiento exitoso de esta vulnerabilidad es necesario que el atacante cuente con permisos de administrador o cuente con un acceso local al dispositivo afectado.

Con la identificación de esta vulnerabilidad los expertos han descubierto siete vulnerabilidades asociadas, la cuales se listan a continuación:

  1. CVE-2020-14308 CVSSv3.0 6.4 [Medio]: Vulnerabilidad del tipo Buffer Overflow
  2. CVE-2020-15705 CVSSv3.0 6.4 [Medio]: Vulnerabilidad del tipo Carga no firmada del kernel
  3. CVE-2020-15706 CVSSv3.0 6.4 [Medio]: Vulnerabilidad del tipo Use After Free (UAF)
  4. CVE-2020-14309 CVSSv3.0 5.7 [Medio]: Vulnerabilidad del tipo Heap Based Overflow
  5. CVE-2020-14310 CVSSv3.0 5.7 [Medio]: Vulnerabilidad del tipo Heap Based Overflow
  6. CVE-2020-14311 CVSSv3.0 5.7 [Medio]: Vulnerabilidad del tipo Heap Based Overflow
  7. CVE-2020-15707 CVSSv3.0 5.7 [Medio]: Integer Overflow

Los expertos que descubrieron la vulnerabilidad ya se han puesto en contacto con entidades relacionadas de la industria, incluidos proveedores de sistemas operativos y fabricantes de computadoras, para ayudarlos a solucionar el problema.

Simplemente instalar una actualización con la solución a la vulnerabilidad en el gestor de arranque GRUB2 no resolvería el problema, porque los atacantes aún pueden reemplazar el gestor de arranque existente del dispositivo con la versión vulnerable.

Por ello los expertos señalan que “la mitigación requerirá que se firmen y se implementen nuevos gestores de arranque, y los gestores de arranque vulnerables deberán ser revocados para evitar que los atacantes usen versiones anteriores y vulnerables en un ataque”.

Por lo tanto, los proveedores afectados necesitarían primero lanzar las nuevas versiones de sus “shims” para ser firmadas por la CA UEFI de Microsoft.

Finalmente, la lista de revocación UEFI (dbx) también debe actualizarse en el firmware de cada sistema afectado para evitar ejecutar este código vulnerable durante el arranque.

Es probable que este proceso de mitigación de múltiples etapas lleve años para que las organizaciones completen las actualizaciones.

Nivel de riesgo

  • CVSS v3.1: 8.2 [Alto]

Sistemas/tecnologías afectadas:

Varios fabricantes son afectados por esta vulnerabilidad, pero los siguientes son los únicos que han sido confirmados hasta la fecha.

  • Microsoft
  • Oracle
  • Red Hat
  • Canonical
  • SuSE
  • Debian
  • Citrix
  • VMware
  • HP

Medidas de erradicación

A continuación se listan los fabricantes que han publicado actualizaciones para corregir esta vulnerabilidad:

  • Red Hat
  • Debian

Cabe resaltar que algunos usuarios que actualizaron sus sistemas informaron acerca de problemas de arranque en sus dispositivos, por tal motivo las organizaciones han publicado instrucciones para remediar el problema que esta actualización está causando, además, aseguran que han identificado el error y están trabajando con una solución.

A la fecha solo existen medidas de erradicación disponibles para los sistemas antes mencionados, sin embargo, se espera que las actualizaciones para los otros fabricantes se publiquen próximamente.

Referencias