Desde 1991 y hasta la fecha, Linux se ha considerado como uno de los sistemas operativos más seguros en la industria tecnológica. Durante las últimas décadas las amenazas se han enfocado principalmente hacia el sistema operativo Windows, del gigante tecnológico Microsoft, sin dejar a un lado a MacOS de la sofisticada Apple Inc. Sin embargo, los cambios son inevitables y las cifras han comenzado a cambiar en los últimos años. En términos generales, el porcentaje de amenazas hacia vulnerabilidades de productos “Open Source”, al mismo Linux y a MacOS se ha incrementado considerablemente.

Recientemente se detectó una vulnerabilidad que no estaba dirigida propiamente a los sistemas Linux ni Windows, aunque sí estaba pensada en afectarlos en su totalidad. Esto debido a las capacidades para otorgar a un atacante el control del dispositivo infectado. Esta falla se denominó “BootHole”, y se encuentra asociada al CVE-2020-10713, que afecta directamente al sistema operativo restructurado del proyecto GNU GRUB2 (“Grand Unified Bootloader”, por sus siglas en inglés), que sólo es un gestor de múltiples sistemas operativos utilizado por miles de millones de dispositivos en el mundo.

El proceso de explotación de esta vulnerabilidad se basa en ejecutar un “buffer overflow” durante la validación de los archivos de configuración clave que realiza GRUB2 durante el arranque, permitiendo al atacante la ejecución de código arbitrario para la instalación del malware conocido como bootkit y clasificado como rootkit. Este es dirigido a la placa base del dispositivo para que en la secuencia se ejecute antes de la carga del sistema operativo, dando al atacante la posibilidad de modificar el proceso de arranque o recompilar el kernel del sistema operativo, y facilitando cualquier posibilidad de ataque sobre el sistema. A raíz de esto, en diversas distribuciones importantes de Linux como Red Hat, Ubuntu, CentOS, Mint y Debian, comenzaron a mitigar la vulnerabilidad mediante parches de seguridad. Sin embargo, de forma independiente se ha identificado que de esta remediación se están generando otro tipo de problemas.

Hablando de números, hay un estimado que indica que el 75% de los dispositivos que operan con Linux o Windows son susceptibles a esta vulnerabilidad. En términos generales, cualquier dispositivo que utilice GRUB2 junto con la función de “Secure Boot” (que curiosamente sirve para la prevención de ataques durante el arranque de los sistemas) estará en riesgo, ya sea un dispositivo de red como: switch, router, concentrador, firewall, entre otros, e incluso afectando a sectores que operan con hardware de propósito específico dentro del sector industrial, financiero, de salud, aeronáutico, o aeroespacial.

Hasta ahora las grandes firmas de desarrollo de los sistemas no han reportado ningún caso de explotación de esta vulnerabilidad. Esto es sólo un recordatorio que el tiempo puede estar corriendo en cuenta regresiva hacia el primer incidente reportado, debido a que se tiene conocimiento que ciertos grupos de amenazas persistentes avanzadas como APT41 de China y NotPetya utilizan bootkits como parte de su vector de ataque en la fase de escalación de privilegios, y no sería de sorprenderse que ya estuvieran trabajando o tuvieran listo un exploit especifico.

Esta vulnerabilidad estará latente durante un largo periodo por su complejidad, la enorme cantidad de dispositivos propensos y el alto riesgo de implementar un firmware o parche de solución en sistemas productivos. Las organizaciones deberán aplicar en el menor tiempo posible todas las recomendaciones de los fabricantes y tener una adecuada gestión de riesgos, no solo sobre la vulnerabilidad, sino sobre todas las consecuencias en torno a una explotación sobre un sistema crítico o peor aún, sobre un ecosistema de producción.

Referencias:
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
https://access.redhat.com/security/vulnerabilities/grub2bootloader
https://ubuntu.com/blog/mitigating-boothole-theres-a-hole-in-the-boot-cve-2020-10713-and-related-vulnerabilities
https://www.linuxtoday.com/security/debian-gnulinux-10.5-buster-released-with-boothole-patches-62-security-updates-200801065025.html
https://defensesystems.com/articles/2020/08/05/boothole-nsa-mitigation-guidance.aspx