Исследователи кибербезопасности обнаружили «критическую» уязвимость в Linux, дающую злоумышленникам полный доступ к системе даже при использовании полного шифрования диска.
Отчёт, опубликованный компанией ERNW, демонстрирует эксплуатацию уязвимости в Ubuntu 25.04 и Fedora 42.
Злоумышленник с физическим доступом к системе Linux может получить отладочную (debug) оболочку, просто несколько раз подряд введя неправильный пароль для расшифровки. В Ubuntu достаточно нажать Esc на экране ввода пароля, ввести несколько комбинаций клавиш для того, чтобы появилась отладочная оболочка. Именно через неё атакующий может скомпрометировать зашифрованную систему.
Злоумышленник может подключить USB-накопитель с инструментами для изменения initramfs (Initial RAM File System — временная файловая система, используемая при загрузке для подготовки основной ОС). Поскольку initramfs не подписан, модификация не вызывает срабатывания механизмов защиты.
При следующей загрузке, когда владелец введёт правильный пароль, вредоносный код выполнится с повышенными привилегиями. Это позволит злоумышленнику: похищать данные, получать удалённый доступ для мониторинга системы, запускать кейлоггер или выполнять другие действия.
Исследователи подчёркивают, что это не баг и не ошибка, а скорее «упущение» и «слепое пятно» в архитектуре некоторых дистрибутивов Linux. Отладочная оболочка полезна для пользователей, но злоумышленники могут её использовать в своих целях.
Несмотря на потенциальную опасность, большинству пользователей Ubuntu паниковать не стоит, т.к. атака с физическим доступом требует, чтобы злоумышленник находился рядом с устройством.
Кроме того, метод, описанный ERNW, требует заранее подготовленной USB-флешки со скриптами и инструментами для модификации initramfs, внедрения вредоносного кода и его перепаковки, чтобы процесс загрузки прошёл без ошибок.
Поскольку для этого нужны навыки и подготовка, случайные злоумышленники вряд ли смогут воспользоваться уязвимостью. Риск оправдан только при атаке на важные цели — бизнес, IT-инфраструктуру, активистов или политиков.
Пользователи (и системные администраторы) могут изменить параметры ядра, чтобы система перезагружалась после нескольких неудачных попыток ввода пароля, вместо того чтобы предоставлять отладочную оболочку.
