Jądro w Ubuntu 18.04 LTS pozwala na ominięcie UEFI Secure Boot, zawiniły łatki

Maciej Olanicki, 17.06.2020 r.

Choć nie wskazują na to wyniki choćby z takich serwisów jak DistroWatch, Ubuntu pozostaje najpopularniejsza dystrybucją Linuksa. Rzecz jasna nie za sprawą swoich instalacji desktopowych, ale przede wszystkim serwerowych, zwłaszcza chmurowych. Dystrybucja coraz śmielej poczyna sobie także na urządzeniach IoT. Nie powinno zatem dziwić, że tak dużą popularnością cieszą się wydania LTS. Niestety, także one nie są pozbawione błędów i podatności, o czym przekonali się w ostatnim czasie użytkownicy wersji 18.04 LTS.

Od Linuksa 5.6 obsługa implementacji VPN Wireguard wszyta jest w samo jądro systemowe, co zapewne przyczyni się do zmierzchu OpenVPN. To właśnie współtwórca Wireguarda, Jason Donenfeld, poinformował świat o odnalezieniu podatności wynikającej z łatek dla wykorzystywanego w Ubuntu 18.04 jądra 4.15. Są to łatki opracowane przez Canonical, które mają na celu zapewnienie kompatybilności z nowym sprzętem i nie dotyczą żadnej innej dystrybucji. Wolne są od nich także inne wersje Ubuntu, łącznie z wydanym w kwietniu Ubuntu 20.04 LTS.

Donenfield odkrył, że modyfikacje jądra sprawiły, że w przypadku Ubuntu 18.04 nie działa poprawnie UEFI Secure Boot. W związku z nienależytą ochroną SSDT EFI możliwe jest wstrzyknięcie tabeli ACPI, co z kolei może zostać wykorzystane do załadowania niepodpisywanych sterowników do systemu, nawet przy włączony UEFI Secure Boot. Przygotowany przez współtwórcę Donenfelda proof-of-concept pokazuje, że da się w ten sposób ominąć randomizację przestrzeni adresowej jądra Linux, a problemu nie rozwiązuje restart jądra.

W rezultacie w przypadku jądra Linux 4.15 w wersji wykorzystywanej w Ubuntu 18.04 LTS możliwe jest ominięcie blokady jądra, nieskuteczne są też mechanizmy Secure Boot. Sprawa jest o tyle poważna, że to właśnie ta wersja wykorzystywana jest powszechnie na serwerach i w chmurach, między innymi na instancjach działających w chmurze Amazon Web Services czy Microsoft Azure. Od wydania Ubuntu 20.04 LTS, a zatem następcy 18.04 w tych zastosowaniach, minęło stosunkowo niewiele czasu, co sugeruje, że w powszechnym użyciu wciąż jest Bionic Beaver.