Otkrivena je značajna ranjivost u modernim Linux distribucijama koja omogućava napadačima, uz kratak fizički pristup, da zaobiđu zaštitu Secure Boot-a putem manipulacije initramfs-om. Ovaj napad iskorištava debug shell-ove dostupne tokom grešaka pri podizanju sistema, što omogućava ubacivanje perzistentnog malvera koji opstaje nakon ponovnog pokretanja sistema i zadržava pristup čak i nakon unosa ispravnih lozinki za enkriptovane particije.
Ključni zaključci iz ove analize su da napadači sa fizičkim pristupom mogu kompromitovati Secure Boot zaštitu koristeći debug shell-ove unutar initramfs-a prilikom neuspjelog podizanja sistema. Više uzastopnih pogrešnih unosa lozinke dovodi do aktiviranja pristupa debug shell-u, što onda omogućava ubacivanje malvera u nepotpisane dijelove initramfs-a. Među ugroženim distribucijama su Ubuntu 25.04, Debian 12, Fedora 42 i AlmaLinux 10, dok OpenSUSE Tumbleweed nije podložan ovom napadu. Kao preventivna mjera, preporučuje se dodavanje kernel parametara poput `panic=0` za Ubuntu, odnosno `rd.shell=0 rd.emergency=halt` za distribucije zasnovane na Red Hat-u, kako bi se onemogućio pristup debug shell-u.
Prema navodima Aleksandra Moča, suština ranjivosti leži u Initial RAM Filesystemu (initramfs), ključnoj komponenti u procesu podizanja Linux sistema, koja je zadužena za dekriptovanje root particija. Za razliku od kernel slika i modula, sam initramfs obično ostaje nepotpisan, što stvara potencijalni sigurnosni propust. Kada korisnici više puta unesu pogrešne lozinke za enkriptovane root particije, mnoge distribucije automatski prelaze u stanje debug shell-a nakon određenog vremenskog perioda. Iz ovog debug shell-a, napadači mogu montirati eksterne USB uređaje koji sadrže specijalizovane alate i skripte. U samom napadu, koristi se alat `unmkinitramfs` za raspakivanje initramfs-a, potom se ubacuju zlonamjerni “hook”-ovi u direktorij `scripts/local-bottom/`, te se modifikovani initramfs ponovno pakuje. Jedna od ključnih zlonamjernih skripti, demonstrirana u Močovom istraživanju, izvršava se nakon dekriptovanja root particije, ponovno montirajući datotečni sistem kao sa pravima čitanja i pisanja, čime se uspostavlja trajni pristup sistemu. Ovaj napad zaobilazi tradicionalne sigurnosne mehanizme jer prati uobičajeni proces podizanja sistema i ne vrši modifikacije na potpisanim dijelovima kernela.
Testiranja provedena na više distribucija ukazala su na različite nivoe ugroženosti. Ubuntu 25.04 zahtijeva svega tri neuspjela pokušaja unosa lozinke prije nego što odobri pristup debug shell-u, dok se kod Debiana 12 pristup može aktivirati držanjem tipke RETURN oko jedne minute. Fedora 42 i AlmaLinux 10 predstavljaju specifične izazove jer njihov inicijalni initramfs ne uključuje `usb_storage` kernel modul, ali napadači to mogu prevazići iniciranjem ponovnog pokretanja sistema putem kombinacije tipki Ctrl+Alt+Delete i odabirom opcije za oporavak. Značajno je napomenuti da OpenSUSE Tumbleweed djeluje otporno na ovaj vektor napada zahvaljujući implementaciji enkripcije particije za podizanje sistema. Ova ranjivost se klasifikuje kao scenario “evil maid” napada, koji zahtijeva privremeni fizički pristup kompromitovanom sistemu.
Postoji nekoliko efikasnih mjera predostrožnosti kojima se ovaj napad može spriječiti. Najjednostavnija od njih je modifikacija parametara komandne linije kernela: dodavanjem `panic=0` za sisteme zasnovane na Ubuntu-u, te `rd.shell=0 rd.emergency=halt` za distribucije temeljene na Red Hat-u. Ovi parametri nalažu sistemu da se zaustavi umjesto da pruži pristup debug shell-u tokom grešaka pri pokretanju. Dodatne zaštitne mjere uključuju konfigurisanje zahtjeva za lozinkom u bootloaderu za pokretanje sistema, omogućavanje izvorne enkripcije SSD-a i implementaciju LUKS enkripcije za particije za podizanje sistema. Naprednija rješenja obuhvataju Unified Kernel Images (UKIs), koji kombinuju kernel i initramfs u potpisane binarne datoteke, te Trusted Platform Modules (TPMs) za mjerenje integriteta initramfs-a u Platform Configuration Registers (PCRs).
