Značajna ranjivost pogađa savremene Linux distribucije, omogućavajući napadačima s kratkim fizičkim pristupom da zaobiđu zaštite Secure Boot putem manipulacije initramfs-om.
Ovaj napad iskorištava debug shell-ove dostupne tokom grešaka pri pokretanju, omogućavajući upornu injekciju malvera koji preživljava ponovno pokretanje sistema i održava pristup čak i nakon što korisnici unesu ispravne lozinke za šifrovane particije.
Ključni zaključci:
* Napadači s fizičkim pristupom mogu zaobići zaštite Secure Boot iskorištavanjem debug shell-ova u initramfs-u tokom grešaka pri pokretanju.
* Više pogrešnih unosa lozinke pokreće pristup putem debug shell-a, dopuštajući ubacivanje upornog malvera u nepotpisane initramfs komponente.
* Ubuntu 25.04, Debian 12, Fedora 42 i AlmaLinux 10 su ranjivi; OpenSUSE Tumbleweed je zaštićen.
* Dodavanje kernel parametara (panic=0 za Ubuntu, rd.shell=0 rd.emergency=halt za sisteme zasnovane na Red Hat-u) onemogućava debug shell-ove.
Vulnerabilnost Linux initramfs-a
Prema Aleksanderu Moču, ranjivost je usredsređena na početni RAM fajl sistem (initramfs), kritičnu komponentu koja se koristi tokom procesa pokretanja Linuxa za dekripciju sistemskih particija. Za razliku od kernel slika i modula, sam initramfs obično ostaje nepotpisan, stvarajući iskoristivu rupu u sigurnosnom lancu. Kada korisnici unesu pogrešne lozinke više puta za šifrovane particije, mnoge distribucije automatski ulaze u debug shell nakon određenog vremenskog perioda.
Iz ovog debug shell-a, napadači mogu montirati spoljne USB diskove koji sadrže specijalizovane alate i skripte. Napad uključuje raspakivanje initramfs-a pomoću komande unmkinitramfs, ubacivanje zlonamernih “hook-ova” u direktorijum scripts/local-bottom/, i ponovno pakovanje izmenjenog initramfs-a. Ključna skripta prikazana u Močovom istraživanju uključuje funkciju koja se izvršava nakon dekripcije particije, ponovno montira fajl sistem u režimu za čitanje/pisanje i uspostavlja trajni pristup.
Ovaj napad zaobilazi tradicionalne zaštite jer prati regularni postupak pokretanja i ne menja potpisane kernel komponente. Testiranja sprovedena na više distribucija otkrila su različite stepene osetljivosti. Ubuntu 25.04 zahteva samo tri pogrešna pokušaja unosa lozinke pre nego što odobri pristup debug shell-u, dok se Debian 12 može pokrenuti držanjem tastera RETURN otprilike jedan minut. Fedora 42 i AlmaLinux 10 predstavljaju jedinstvene izazove jer njihov podrazumevani initramfs ne sadrži usb_storage kernel modul, ali napadači to mogu zaobići pokretanjem ponovnog pokretanja pomoću Ctrl+Alt+Delete i odabirom opcija za spasavanje sistema, navodi se u izveštaju.
Važno je napomenuti da OpenSUSE Tumbleweed deluje imun na ovaj vektor napada zahvaljujući podrazumevanoj implementaciji enkripcije boot particije. Ova ranjivost predstavlja ono što stručnjaci za bezbednost klasifikuju kao scenario “evil maid” napada, koji zahteva privremeni fizički pristup kompromitovanim sistemima.
Mitigacije
Nekoliko efikasnih mera predostrožnosti može sprečiti ovaj vektor napada. Najjednostavnija uključuje izmenu parametara komandne linije kernela: dodavanje panic=0 za sisteme zasnovane na Ubuntu-u i rd.shell=0 rd.emergency=halt za distribucije zasnovane na Red Hat-u. Ovi parametri primoravaju sistem da se zaustavi umesto da pruža pristup debug shell-u tokom grešaka pri pokretanju. Dodatne zaštitne mere uključuju konfigurisanje zahteva za lozinkom bootloadera za pokretanje sistema, omogućavanje nativne enkripcije SSD-a i implementaciju LUKS enkripcije za boot particije. Naprednija rešenja uključuju Unified Kernel Images (UKI), koji kombinuju kernere i initramfs u monolitske potpisane binarne fajlove, i Trusted Platform Modules (TPM) za merenje integriteta initramfs-a u Platform Configuration Registers (PCRs).
