恶意代码利用LogoFAIL漏洞攻击Linux设备

研究人员发现，恶意代码正在利用一年前的固件漏洞（LogoFAIL）在Linux设备的最早启动阶段进行攻击。该漏洞能够绕过行业标准的安全启动（Secure Boot）防御机制，并在启动过程的早期执行恶意固件。

LogoFAIL漏洞概述

LogoFAIL是一组去年发现的可利用漏洞，能够覆盖安全启动保护，并在启动过程中执行恶意固件。此前，尚未有公开迹象表明LogoFAIL漏洞被实际利用。然而，最近从互联网服务器下载的代码表明，这些漏洞已被武器化，尽管目前尚未发现其被广泛使用，但其可靠性足以构成现实威胁。

恶意代码的执行机制

该恶意代码通过利用LogoFAIL漏洞中的一个关键图像解析漏洞，将代码注入到统一可扩展固件接口（UEFI）中。UEFI负责启动运行Windows或Linux的现代设备。恶意代码通过注入存储在恶意位图图像中的shell代码，绕过安全启动保护，安装一个加密密钥，该密钥用于数字签名恶意GRUB文件和Linux内核的后门镜像。这些文件在Linux设备的后续启动阶段运行。

攻击的最终目标

攻击的最终目标是安装Bootkitty，这是一个针对Linux的引导工具包（bootkit），由安全公司ESET的研究人员发现并报告。Bootkitty通过在Linux内核中植入后门，绕过所有其他安全防御机制。

受影响设备

受影响的设备包括一些由Acer、HP、Fujitsu和Lenovo销售的型号，这些设备使用Insyde开发的UEFI并运行Linux。Insyde已发布补丁修复该漏洞，未打补丁的设备仍然易受攻击。

漏洞的行业跟踪

Binarly将该漏洞跟踪为BRLY-2023-006，行业范围内的跟踪编号为CVE-2023-40238和CVE-2023-39538。Insyde已发布相关安全公告，建议所有使用Insyde UEFI的设备及时打补丁。

恶意代码的潜在用途

尽管目前没有证据表明该恶意代码被广泛使用，但其展示的LogoFAIL漏洞利用部分非常可靠，可能被用于演示或寻找潜在买家。恶意代码在感染过程中显示的图像是一只可爱的猫，这可能是一种展示手段。

总结

LogoFAIL漏洞的武器化表明，尽管该漏洞在一年前被公开披露，但仍可能被威胁行为者利用。未打补丁的设备面临严重风险，建议用户及时更新固件以防范潜在攻击。