Tổng Quan về Lỗ Hổng
Một tập hợp quan trọng gồm 20 lỗ hổng bảo mật trong GRUB2 đã được phát hiện, khiến hàng triệu thiết bị dễ bị tấn công bypass secure boot và thực thi mã từ xa.
Các lỗ hổng này có điểm CVSS cao tới 7.5 và ảnh hưởng đến các thành phần cốt lõi xử lý phân tích hệ thống tệp, quản lý bộ nhớ và cấu hình mạng.
Các Vector Tấn Công
-
Driver Hệ Thống Tệp:
Các lỗ hổng bao gồm chuỗi corruption từ overflow số nguyên sang heap trong các triển khai UFS, HFS+ và ReiserFS. Ví dụ, CVE-2025-0677 cho phép các symlink được định dạng khéo léo trong các phân vùng UFS kích hoạt các buffer overflow trong quá trình xử lý inode, trong khi CVE-2024-45782 khai thác độ dài tên volume không được xác thực trong các mount HFS để ghi đè metadata heap.
-
Cấu Hình Khởi Động Mạng:
CVE-2025-0624 cho phép các máy chủ DHCP độc hại tiêm các đường dẫn cấu hình quá cỡ vào stack mạng của GRUB2, cho phép thực thi mã tùy ý trong môi trường pre-boot.
-
Xử Lý JPEG:
CVE-2024-45774 cho phép các tệp JPEG được định dạng đặc biệt ghi đè các vùng bộ nhớ quan trọng thông qua các dấu hiệu SOF0 trùng lặp, có thể cho phép tồn tại qua các lần khởi động lại hoặc sửa đổi các phép đo boot đã được xác thực.
Nguy Cơ Đối Với Tính Toàn Vẹn UEFI Secure Boot
Các lỗ hổng nghiêm trọng nhất, bao gồm CVE-2025-0622 sử dụng kỹ thuật dùng-sau-free trong việc giải phóng module GPG, trực tiếp đe dọa tính toàn vẹn của UEFI Secure Boot bằng cách chiếm dụng các hàm hook sau khi đã thải module, cho phép thực thi các payload độc hại với quyền hạn bootloader.
CVE-2025-1118 có khả năng dump bộ nhớ không bảo mật, gây rủi ro lộ ra các bí mật mã hóa khi Secure Boot đang hoạt động.
Biện Pháp Giảm Thiểu
Việc giảm thiểu yêu cầu cập nhật phối hợp cho GRUB2, shim và metadata SBAT. Các danh sách thu hồi UEFI truyền thống (dbx) sẽ không được sử dụng, và các nhà cung cấp phải tái xây dựng các artefact khởi động với SBAT generation 5 hoặc cao hơn để thực thi thu hồi cấp thành phần.
Các bản phân phối chính như Red Hat, SUSE và Oracle Linux đã bắt đầu triển khai các gói đã vá bắt đầu từ ngày 25 tháng 2 năm 2025.
Rủi Ro Còn Lại
Mặc dù đã có bản vá, rủi ro còn lại vẫn tồn tại đối với các hệ thống cũ và thiết bị nhúng với chu kỳ cập nhật không thường xuyên. Jonathan Bar Or cảnh báo rằng sự tích hợp sâu của GRUB2 với các chuỗi tin cậy phần cứng có nghĩa là một hệ thống không được vá có thể làm suy yếu đảm bảo khởi động an toàn cho toàn mạng.
Bài viết nhấn mạnh vai trò quan trọng của sự hợp tác giữa các ngành trong bảo mật firmware và kêu gọi các quản trị viên hệ thống ưu tiên việc cập nhật bootloader và xác minh trạng thái SBAT bằng cách sử dụng các công cụ như mokutil.
