Una vulnerabilidad significativa que afecta las distribuciones modernas de Linux que permite a los atacantes con breve acceso físico para evitar protecciones seguras de arranque a través de la manipulación de initRAMFS.
Las explotaciones de ataque de ataque depuran los shells accesibles durante las fallas de arranque, lo que permite la inyección persistente de malware que sobrevive a los reiniciados del sistema y mantiene el acceso incluso después de que los usuarios ingresan contraseñas correctas para particiones cifradas.
Control de llave
1. Los atacantes con acceso físico pueden evitar las protecciones seguras de arranque explotando conchas de depuración en los initramfs durante las fallas de arranque.
2. Múltiples entradas de contraseña incorrectas activan el acceso a la depuración, lo que permite la inyección de malware persistente en componentes initramfs sin firmar.
3. Ubuntu 25.04, Debian 12, Fedora 42 y Almalinux 10 son vulnerables; OpenSuse Tumbleweed está protegida.
4. Agregue los parámetros del núcleo (Panic = 0 para Ubuntu, rd.shell = 0 rd.emergency = Halt for Red Hat) para deshabilitar los shells de depuración.
Vulnerabilidad de Linux initramfs
Según Alexander Moch, la vulnerabilidad se centra en el sistema de archivos RAM inicial (initRAMF), un componente crítico utilizado durante los procesos de arranque de Linux para descifrar las particiones raíz.
A diferencia de las imágenes y módulos del núcleo, los initramfs en sí generalmente permanecen sin firmar, creando una brecha explotable en la cadena de seguridad.
Cuando los usuarios ingresan contraseñas incorrectas varias veces para particiones raíz cifradas, muchas distribuciones caen automáticamente en un shell de depuración después de un período de tiempo de espera.
A partir de este caparazón de depuración, los atacantes pueden montar unidades USB externas que contienen herramientas y scripts especializados.
El ataque implica desempacar los initramfs utilizando el comando unmkinitramfs, inyectar ganchos maliciosos en los scripts/ directorio/ directorio local, y reempaquetando los initramfs modificados.
Un guión clave demostrado en la investigación de Moch incluye:
Este gancho malicioso se ejecuta después del descifrado de la partición raíz, la remontación del sistema de archivos como lectura-escritura y estableciendo un acceso persistente.
El ataque evita las protecciones tradicionales porque sigue la secuencia de arranque regular y no modifica los componentes del núcleo firmados.
Pruebas realizadas en múltiples distribuciones reveló diversos grados de susceptibilidad.
Ubuntu 25.04 requiere solo tres intentos de contraseña incorrectos antes de otorgar el acceso de shell de depuración, mientras que Debian 12 puede activarse manteniendo la clave de retorno durante aproximadamente un minuto.
Fedora 42 y Almalinux 10 presentan desafíos únicos ya que sus initramfs predeterminados carecen del módulo de núcleo USB_Storage, pero los atacantes pueden eludir esto activando reinicios utilizando Ctrl+Alt+Eliminar y seleccionar entradas de rescate, lee el informe.
En particular, OpenSuse Tumbleweed parece inmune a este vector de ataque debido a su implementación predeterminada de cifrado de partición de arranque.
La vulnerabilidad representa lo que los expertos en seguridad clasifican como un escenario de ataque de “criada malvada”, que requiere acceso físico temporal a sistemas comprometidos.
Mitigaciones
Varias contramedidas efectivas pueden prevenir este vector de ataque. El más simple implica modificar los parámetros de la línea de comandos del kernel: agregar Panic = 0 para sistemas basados en Ubuntu y rd.shell = 0 rd.emergency = Halt para distribuciones basadas en Red Hat.
Estos parámetros obligan al sistema a detenerse en lugar de proporcionar acceso de shell de depuración durante las fallas de arranque. Las medidas de protección adicionales incluyen la configuración de los requisitos de contraseña del cargador de arranque para el arranque del sistema, habilitar el cifrado nativo de SSD e implementar el cifrado de LUK para particiones de arranque.
Las soluciones avanzadas involucran imágenes de núcleo unificadas (ukis), que combinan núcleos e initRAMF en binarios firmados monolíticos y módulos de plataforma de confianza (TPMS) para medir la integridad initRAMF en registros de configuración de plataforma (PCR).
.webp?w=1600&resize=1600,900&ssl=1){kind=link}