Linux 启动漏洞可绕过现代 Linux 系统的安全启动保护
内容提要
现代Linux发行版存在漏洞,攻击者可通过物理接触利用initramfs绕过安全启动,导致调试shell被访问并注入持久性恶意软件。受影响的版本包括Ubuntu 25.04、Debian 12、Fedora 42和AlmaLinux 10,OpenSUSE Tumbleweed则不受影响。建议通过修改内核参数等方式加强防护。
关键要点
-
现代Linux发行版存在重大漏洞,攻击者可通过物理接触利用initramfs绕过安全启动。
-
该漏洞允许攻击者通过调试shell注入持久性恶意软件,即使用户输入正确密码仍能维持访问权限。
-
受影响的版本包括Ubuntu 25.04、Debian 12、Fedora 42和AlmaLinux 10,OpenSUSE Tumbleweed不受影响。
-
攻击者可通过多次输入错误密码触发调试shell,利用该shell挂载外部USB驱动器。
-
攻击流程包括解包initramfs、注入恶意钩子并重新打包,恶意钩子可在根分区解密后执行。
-
安全专家将该漏洞归类为'邪恶女仆'攻击场景,需要短暂物理接触目标系统。
-
建议通过修改内核参数等方式加强防护,如Ubuntu添加panic=0,Red Hat系添加rd.shell=0 rd.emergency=halt。
-
其他防护措施包括配置引导加载程序密码要求、启用SSD原生加密和对启动分区实施LUKS加密。
-
高级解决方案包括统一内核镜像(UKI)和可信平台模块(TPM)以增强安全性。
延伸问答
现代Linux发行版的安全启动漏洞是如何被利用的?
攻击者通过物理接触利用initramfs绕过安全启动,访问调试shell并注入持久性恶意软件。
哪些Linux发行版受到此漏洞的影响?
受影响的版本包括Ubuntu 25.04、Debian 12、Fedora 42和AlmaLinux 10,OpenSUSE Tumbleweed不受影响。
攻击者如何触发调试shell以进行攻击?
攻击者可以通过多次输入错误密码触发调试shell,进而进行攻击。
有哪些措施可以加强Linux系统的安全性?
建议修改内核参数、配置引导加载程序密码要求、启用SSD原生加密和对启动分区实施LUKS加密。
该漏洞被安全专家归类为什么类型的攻击?
安全专家将该漏洞归类为'邪恶女仆'攻击场景。
如何通过修改内核参数来防止此漏洞?
Ubuntu系统可添加参数panic=0,Red Hat系可添加rd.shell=0 rd.emergency=halt,以防止调试shell的访问。
