Référence: CERTFR-2020-AVI-477
Titre: Multiples vulnérabilités dans Grub2
Date de la première version: 30 juillet 2020
Date de la dernière version: 31 juillet 2020
Source(s): Avis de sécurité Debian du 30 juillet 2020
Avis de sécurité Ubuntu du 30 juillet 2020
Avis de sécurité Red Hat du 29 juillet 2020
Avis de sécurité SUSE du 29 juillet 2020
Avis de sécurité HP du 27 juillet 2020
Avis de sécurité HPE du 29 juillet 2020
Avis de sécurité VMware du 29 juillet 2020
Publication de la société Eclypsium du 29 juillet 2020
Avis de sécurité Microsoft du 29 juillet 2020
RISQUE(S)
- Exécution de code arbitraire
SYSTÈMES AFFECTÉS
- Toute machine configurée avec Secure Boot pour sécuriser la séquence de démarrage de son système d’exploitation
RÉSUMÉ
GRUB2 est le bootloader le plus couramment utilisé par les distributions Linux pour démarrer le système d’exploitation.
De multiples vulnérabilités ont été découvertes dans GRUB2. Elles permettent à un attaquant, ayant la possibilité de modifier le fichier de configuration grub.cfg ou de manipuler d’autres ressources utilisées par GRUB2, de provoquer une exécution de code arbitraire.
Pour y parvenir, l’attaquant doit avoir les droits administrateurs ou avoir un accès physique à un équipement afin de manipuler la séquence de démarrage (via un support amovible ou via la modification du disque de boot de la machine). Ces méthodes permettent donc de compromettre une machine même si celle-ci n’a pas Linux d’installé à l’origine.
En agissant ainsi sur une machine configurée avec Secure Boot, l’attaquant est alors en capacité de rompre la chaîne de confiance et de déployer du code malveillant pour compromettre la machine de façon persistante sans être détecté.
SOLUTION
Les machines utilisant GRUB2 doivent appliquer les mises à jour publiées par les éditeurs de distribution Linux.
Afin de rétablir la chaîne de confiance Secure Boot, toutes les machines configurées avec Secure Boot devront être mises à jour pour interdire l’utilisation des versions GRUB2 vulnérables. Cette étape consiste à actualiser les fichiers DB et DBX qui référencent respectivement les bootloaders de confiance et les bootloaders révoqués par Secure Boot :
- soit en appliquant les mesures préconisées par Microsoft pour les machines installées avec un système d’exploitation Windows
- soit en appliquant les mesures préconisées par l’éditeur de la distribution Linux lorsque celui propose une mise à jour de Secure Boot
- soit en appliquant une mise à jour de BIOS publiée par le constructeur de l’équipement
Cette mise à jour de DBX doit donc être réalisée après avoir mis à jour GRUB2 sur les machines pour ne pas risque un blocage au moment du démarrage.
Le CERT-FR recommande donc fortement de se référer aux différentes publications des éditeurs disponibles à ce jour (cf. références documentaires) afin de déterminer le plan d’actions adapté à chaque configuration.
DOCUMENTATION
- Référence CVE CVE-2020-10713
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10713 - Référence CVE CVE-2020-14308
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14308 - Référence CVE CVE-2020-14309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14309 - Référence CVE CVE-2020-14310
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14310 - Référence CVE CVE-2020-14311
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14311 - Référence CVE CVE-2020-15705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15705 - Référence CVE CVE-2020-15706
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15706 - Référence CVE CVE-2020-15707
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15707 - Avis de sécurité Debian du 30 juillet 2020
https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/ - Avis de sécurité Ubuntu du 30 juillet 2020
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass - Avis de sécurité Red Hat du 29 juillet 2020
https://access.redhat.com/security/vulnerabilities/grub2bootloader - Avis de sécurité SUSE du 29 juillet 2020
https://www.suse.com/support/kb/doc/?id=000019673 - Avis de sécurité HP du 27 juillet 2020
https://support.hp.com/us-en/document/c06707446 - Avis de sécurité HPE du 29 juillet 2020
https://techhub.hpe.com/eginfolib/securityalerts/Boot_Hole/boot_hole.html - Avis de sécurité VMware du 29 juillet 2020
https://kb.vmware.com/s/article/80181 - Avis de sécurité Microsoft du 29 juillet 2020
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011 - Publication de la société Eclypsium du 29 juillet 2020
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/