Lỗ hổng nghiêm trọng cho phép vượt Secure Boot qua initramfs trên Linux
Một lỗ hổng bảo mật nguy hiểm vừa được phát hiện trên nhiều bản phân phối Linux hiện đại cho phép kẻ tấn công có quyền truy cập vật lý tạm thời có thể vượt qua cơ chế Secure Boot bằng cách lợi dụng môi trường initramfs trong quá trình khởi động. Lỗ hổng này tận dụng shell gỡ lỗi được kích hoạt khi người dùng nhập sai mật khẩu quá nhiều lần để truy cập vào các công cụ hệ thống quan trọng trong initramfs từ đó tiêm mã độc duy trì truy cập vĩnh viễn vào máy dù người dùng sau đó có đăng nhập thành công.
Theo nhà nghiên cứu Alexander Moch lỗ hổng xuất phát từ việc initramfs không được ký số như nhân Linux hoặc các module đi kèm tạo ra một điểm yếu trong chuỗi khởi động an toàn. Khi người dùng nhập sai mật khẩu giải mã nhiều lần các bản phân phối như Ubuntu Debian Fedora hay AlmaLinux sẽ tự động đưa hệ thống vào môi trường shell gỡ lỗi cho phép gắn thiết bị USB chứa script độc hại và sửa đổi nội dung initramfs. Quá trình này bao gồm việc giải nén initramfs bằng công cụ unmkinitramfs chỉnh sửa nội dung bên trong như thêm mã độc vào thư mục scripts/local-bottom và đóng gói lại.
bash echo 'mount -o remount,rw /root' > unpacked/main/scripts/local-bottom/myhook echo 'date >> /root/myhook' >> unpacked/main/scripts/local-bottom/myhook chmod +x unpacked/main/scripts/local-bottom/myhook
Sau đó initramfs mới sẽ được hệ thống sử dụng trong lần khởi động tiếp theo mà không bị phát hiện do không có cơ chế xác thực chữ ký. Kẻ tấn công có thể cài script để gắn lại phân vùng root dưới dạng có thể ghi bật đăng nhập root qua SSH thêm khóa công khai vào hệ thống và gửi thông tin hệ thống về máy chủ điều khiển ẩn danh qua mạng Tor. Ngoài ra script cũng cài đặt các công cụ hỗ trợ như masscan libpcap zstd và torsocks để mở rộng quyền kiểm soát hệ thống hoặc triển khai các phần mềm khai thác khác như trình đào tiền mã hóa XMRig được tích hợp sẵn trong mã nhị phân đi kèm. Payload này có thể tự giải nén kích hoạt và vận hành độc lập mà không cần thêm thành phần nào từ bên ngoài giúp giảm khả năng bị phát hiện.
Thử nghiệm thực tế cho thấy Ubuntu 25.04 có thể bị khai thác sau ba lần nhập sai mật khẩu Debian 12 dễ bị vượt qua bằng cách giữ phím ENTER khoảng một phút còn Fedora và AlmaLinux có thể bị lợi dụng thông qua quy trình khởi động lại chọn chế độ “rescue”. Trong khi đó OpenSUSE Tumbleweed được xác nhận không bị ảnh hưởng do mặc định sử dụng mã hóa toàn bộ phân vùng khởi động.
Để phòng chống lỗ hổng này chuyên gia khuyến nghị người dùng nên chỉnh sửa tham số khởi động kernel để vô hiệu hóa shell khẩn cấp bằng cách thêm panic=0 với Ubuntu hoặc rd.shell=0 rd.emergency=halt với các bản phân phối Red Hat đồng thời thiết lập mật khẩu cho bootloader mã hóa phân vùng boot bằng LUKS và triển khai mô hình kernel hợp nhất UKI có chữ ký số. Việc sử dụng Trusted Platform Module để đo tính toàn vẹn initramfs cũng là một biện pháp tăng cường bảo vệ hệ thống khỏi các cuộc tấn công dạng evil maid như trên.
