보안 부팅 우회 위험으로 인해 약 20만 대의 Linux Framework 노트북이 위협받고 있습니다.

작성자:

Framework Linux 노트북에서 보안 부팅 우회로 이어지는 결함에 대한 기술 분석

2025년, 모듈형 Linux 머신 분야의 유명 기업인 미국 브랜드 Framework의 약 20만 대 노트북에서 발견된 취약점으로 인해 UEFI 보안 부팅(Secure Boot)의 보안이 침해되었습니다. 이 취약점은 합법적으로 서명된 UEFI 구성 요소와 관련이 있으며, 이 구성 요소에는 “메모리 수정”(mm) 명령이 통합되어 있어 시스템 메모리에 대한 직접 읽기 및 쓰기 액세스를 제공합니다.

특히 이 함수는 원래 저수준 진단 및 펌웨어 디버깅에 사용됩니다. 그러나 UEFI 모듈 서명 검증의 핵심 구성 요소인 gSecurity2 변수를 변경하는 데 악용될 수 있습니다. 공격자는 이 변수에 대한 포인터를 NULL 또는 체계적으로 긍정적인 검증 결과를 반환하는 함수로 대체함으로써 디지털 서명 검증을 비활성화하여 부팅 단계에서 무단 코드 실행을 가능하게 할 수 있습니다. 이러한 변조는 UEFI 보안 부팅 신뢰 체인을 손상시키기 때문에 위험합니다. 보안 부팅은 Ubuntu, Fedora, Debian과 같은 운영 체제가 악성코드 주입을 막기 위해 하드웨어-소프트웨어 보안의 기반이 되는 체인입니다. 또한, 이 공격은 부팅 스크립트를 통해 자동화될 수 있어 운영 체제를 재설치한 후에도 지속성을 유지할 수 있습니다. mm 명령:진단을 위한 직접 메모리 액세스. gSecurity2 변수: UEFI 서명 검증을 제어합니다.

영향:

  • 서명 검사가 비활성화되어 악성 부트킷이 침투할 수 있습니다. 영향 대상:
  • 프레임워크 노트북, 다양한 Intel 및 AMD 세대의 최신 모델. 지속성:
  • 부팅 시퀀스 자동화를 통한 지속성. 이 사례는 HP, Dell, Lenovo, ASUS, Acer, MSI 모델 등 다른 아키텍처에서 이미 관찰된 문제를 확장한 것으로, 펌웨어 보안에 대한 부주의로 인해 다양한 보안 부팅 우회가 허용되어 널리 사용되는 Linux 배포판에도 영향을 미쳤습니다.
  • Linux에서 보안 부팅을 활성화할 때 발생하는 위험, 보안에 미치는 영향, 시스템 호환성, 그리고 IT 환경을 보호하기 위한 예방 조치에 대해 알아보세요. 이 결함을 악용하는 부트킷의 예
  • 이 취약점은 BlackLotus, HybridPetya, Bootkitty와 같은 부트킷을 로드할 수 있도록 허용하기 때문에 실질적인 피해는 심각합니다. 이러한 맬웨어 프로그램은 UEFI 수준에서 실행되도록 설계되어 대부분의 운영 체제 보안 메커니즘에 면역이 됩니다. 예를 들어 HybridPetya는 Petya 및 NotPetya 랜섬웨어의 다양한 우회 기술을 결합하여 UEFI 보안을 우회할 수 있는 위협입니다. 일단 설치되면 Linux 커널이 로드되기 전에 부팅 프로세스에 침투하여 Ubuntu 또는 Fedora 시스템을 영구적으로 손상시킬 수 있습니다.

이러한 부트킷은 시스템에 지속적으로 존재하기 때문에 기존의 바이러스 백신 도구나 시스템 재설치를 통해 탐지 및 제거하기가 어렵습니다. 따라서 이 공격은 단일 단계에 국한되지 않고 기존의 정리 시도에도 불구하고 지속될 수 있습니다.

BlackLotus:

Linux 시스템을 표적으로 하는 지속적인 UEFI 부트킷.

HybridPetya: 보안 부팅을 우회하는 고급 랜섬웨어.Bootkitty: 탐지되지 않은 펌웨어 수정이 가능한 UEFI 맬웨어.지속성: 기존 시스템 재설치를 차단합니다.영향:

안전한 시스템 복원 기능을 크게 저하시킵니다.

  • UEFI 보안 부팅 메커니즘과 Linux 배포판에 미치는 영향 이 결함의 의미를 이해하려면 UEFI(Unified Extensible Firmware Interface)에서 도입된 메커니즘인
  • 보안 부팅 의 작동 방식을 검토하는 것이 필수적입니다. 보안 부팅은 부팅 시 로드되는 각 구성 요소가 승인된 키로 서명되었는지 확인하여 무단 및 악성 소프트웨어 실행을 방지합니다.
  • 특히 Debian, Ubuntu, Fedora와 같은 주요 배포판의 Linux 환경에서 보안 부팅은 관리하기 어려운 장애물이 되는 경우가 많습니다. 개발자와 사용자는 사용자 지정 커널이나 모듈을 로드하려면 규정을 준수하는 서명 봉투를 보유해야 합니다. 이러한 맥락에서 Framework와 다른 제조업체는 이러한 서명을 펌웨어에 통합하지만, mm 명령으로 인해 발생하는 것과 같은 신뢰 체인의 결함은 전체 시스템 보안을 손상시킵니다. 프로세스는 다음과 같이 작동합니다.
  • 부팅 시 UEFI 펌웨어는 보안 데이터베이스에 저장된 키를 사용하여 로더 및 모듈의 디지털 서명을 검증합니다. 서명이 유효하면 로드가 계속 진행됩니다. 그렇지 않으면 블록은 안전하지 않은 소프트웨어의 시작을 차단합니다. gSecurity2와 같이 이 검증과 관련된 중요 메모리가 NULL로 변경되면 이 검증이 비활성화되어 보안 부팅이 무효화됩니다.
  • EFI 시스템 파티션(ESP): 서명된 로더를 포함합니다.
DB 및 DBX:

승인 및 취소된 키의 데이터베이스입니다.

Linux에 대한 중요도: 보안 부팅으로 부팅하려면 서명이 필요합니다.취약점:

메모리 손상을 통해 서명 검증을 비활성화합니다.

결과:

  1. 탐지되지 않은 악성 모듈이 유입될 수 있습니다.
  2. 보안을 손상시키지 않고 Linux를 실험하거나 배포하려는 사용자는 특히 Framework 컴퓨터에서 안전한 USB 멀티부팅 솔루션이나 마스터 듀얼부팅 구성을 고려해 볼 가치가 있습니다.
  3. Linux USB 멀티부팅 솔루션
  • Microsoft 듀얼부팅 Linux
  • 와 같은 실용 가이드는 UEFI 보안을 손상시키지 않고 혼합 환경을 탐색하는 데 매우 유용합니다. Linux에서 보안 부팅을 활성화할 때 발생하는 위험, 즉 호환성, 보안 및 특정 시스템이나 드라이버 설치에 미치는 영향에 대해 알아보세요.
  • Linux 환경에서 펌웨어와 서명된 키의 역할 서명 키(DB)는 커널 및 GRUB와 같은 Linux 모듈이 보안 부팅 환경에서 실행되도록 권한을 부여하는 데 필수적인 구성 요소입니다. 그러나 펌웨어 관리의 취약점이나 손상된 키는 이러한 보호 기능을 완전히 무효화할 수 있습니다. Framework와 같은 제조업체에서 DB 및 DBX(해지된 키)를 정기적으로 업데이트하는 것이 매우 중요합니다. 예를 들어, Framework는 영향을 받는 각 모델에 대한 패치를 계획했으며, 버전 3.01에서 3.24까지의 펌웨어 업데이트와 취약한 키를 해지하는 관련 DBX 데이터베이스 업데이트를 포함합니다. 이러한 유지 관리를 유지하지 않으면 심각한 위험에 장기간 노출될 수 있습니다.
  • 펌웨어 업데이트: 위험한 mm 명령을 무력화하는 패치입니다.
  • DBX 업데이트: 침해된 키 해지입니다.

중요도: 영구 부트킷의 악용을 방지합니다. 영향을 받는 모델: Framework 13(Intel 및 AMD), Framework 16 및 Desktop Ryzen AI입니다. 조치 속도:

위협의 범위를 제한하는 데 필수적입니다.

https://www.youtube.com/watch?v=2Lrz5hsesVw

이 보안 부팅 취약점으로부터 Linux Framework 시스템을 효과적으로 보호하는 방법

프레임워크 업데이트를 신속하게 적용하는 것이 이 취약점에 대한 첫 번째 방어선입니다. 아직 패치를 활용할 수 없는 경우 몇 가지 중간 조치를 권장합니다.

  • 물리적 접근 방지: 공격자가 시스템에 물리적으로 접근할 수 있는 경우 위험이 증가합니다.
  • 취약한 DB 키 삭제: BIOS를 통해 취약한 프레임워크 키를 일시적으로 제거합니다.
  • 보안 부팅 일시 비활성화: 이 옵션은 신중하게 사용해야 하며, 통제된 상황에서만 사용해야 합니다.
  • 펌웨어 모니터링: 공식 프레임워크 채널에서 업데이트를 정기적으로 모니터링합니다.
  • 더 넓은 맥락에서, sudo와 같은 Linux 도구를 사용하여 권한 사용을 검증하고 제어하는 ​​것은 필수적입니다. 로컬 관리자 권한을 가진 공격자는 이 결함을 악용하여 심각한 손상을 초래할 수 있습니다. 관리자 및 고급 사용자의 경우, Snapdragon 기반 Ubuntu와 같은 ARM 아키텍처용 새로운 보안 Linux 이미지를 테스트하거나, 가상화 환경이나 라이브 USB를 통해 Windows를 중단하지 않고 Linux를 사용해 볼 수 있는 솔루션을 사용하여 직접 노출 위험을 줄이는 것이 좋습니다. 프레임워크 펌웨어 업데이트:
공식 패치를 즉시 적용하세요.

물리적 접근 제한:

무단 접근으로부터 하드웨어를 보호하세요.

  • 엄격한 루트 계정 관리: sudo 및 기타 도구를 사용하여 권한을 제한하세요.
  • 안전한 Linux 환경 테스트: 최신 또는 대체 배포판을 실시간으로 사용하세요.
  • 지속적인 모니터링: 프레임워크 및 기타 플레이어의 취약점에 대한 최신 정보를 확인하세요.
  • Linux에서 보안 부팅을 활성화하는 것과 관련된 위험을 파악하세요. 호환성, 보안 및 Linux 배포판을 최적으로 사용하면서 시스템을 보호하는 팁을 알아보세요. Linux에서 UEFI 공격을 방지하기 위한 모범 사례

UEFI 펌웨어의 취약점은 드물지만 전반적인 보안에 큰 영향을 미칩니다. 보안을 강화하기 위한 몇 가지 팁과 모범 사례는 다음과 같습니다. 서명되고 검증된 펌웨어 사용: 항상 잘 알려지고 정기적으로 유지 관리되는 모델을 선호하십시오.

시스템 및 펌웨어 업데이트 적용: 중요 패치를 무시하지 마십시오.보안 부팅을 올바르게 구성하십시오.인증된 키 데이터베이스가 최신 상태인지 확인하십시오. 물리적 및 관리 액세스 제한:

  • 관리자 자격 증명 및 하드웨어 보호 시스템 감사 도구 사용:
  • 예를 들어 Linux 호환 오픈 소스 도구를 사용하여 펌웨어 일관성을 확인하십시오. 잘못 구성된 이중 부팅 방지:
  • 다음과 같은 신뢰할 수 있는 가이드를 참조하십시오. 이 이중 부팅 튜토리얼
  • . Linux 환경에서는 Framework를 사용하든 Dell, HP, Lenovo, ASUS, Acer, MSI와 같은 다른 브랜드를 사용하든 지속적인 기술 모니터링과 함께 사전 예방적 보안 정책을 채택하는 것이 중요합니다. 이러한 조치는 펌웨어 공격 및 보안 부팅 우회와 관련된 위험을 최소화합니다. https://www.youtube.com/watch?v=nS3mQm2O434