Уязвимость, которая позволяет как локальному, так и удаленному злоумышленнику, имея суперпользовательские права, получить доступ в командную оболочку начального загрузочного окружения на Linux-системе, была обнаружена исследователями из Политехнического университета Валенсии. Как утверждают эксперты, уязвимость присутствует в Debian, Fedora и Ubuntu.
По словам исследователей Гектора Марко и Исмаэля Риполла, уязвимость находится по умолчанию в конфигурации Cryptsetup, которая применяется в Linux для инсталляции криптографических значений. Проблема относится к реализации в системах стандарта Linux Unified Key Setup (LUKS) для шифрования дисков.
Используя ошибку, хакер может осуществлять копирование, модификацию или уничтожение жесткого диска, перенастройку сети или хищение данных. Уязвимость особо опасна для банкоматов, а также для аэропортов, библиотек, лабораторий и иных учреждений, в которых процедура загрузки системы защищена паролями в BIOS и GRUB, а пользователь работает лишь с мышью и клавиатурой. Кроме того, ошибку можно использовать в облачных средах без физического доступа.
Проблема возникает лишь, если в ходе установки системы или после нее было произведено шифрование системного раздела. Для того, чтобы воспользоваться уязвимостью, необходимо осуществить перезагрузку компьютера, а затем удерживать клавишу Enter, пока на экране будет находиться форма для ввода пароля. Через 70 секунд появится командная оболочка. Для устранения проблемы нужно изменить файл cryptroot.