AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Cerca de 200.000 sistemas Framework afectados por componentes UEFI vulnerables que eluden Secure Boot

admin

Introducción

Framework, fabricante estadounidense conocido por sus portátiles modulares y orientados a la reparación, se ha visto envuelto en una seria preocupación de seguridad: aproximadamente 200.000 de sus equipos con Linux han sido distribuidos con componentes UEFI firmados que podrían permitir a un atacante eludir las protecciones de Secure Boot. Este incidente genera alarma entre profesionales de la ciberseguridad, administradores de sistemas y responsables de seguridad TIC, ya que expone a una parte significativa del parque instalado a posibles ataques de persistencia avanzada, manipulación de la cadena de arranque y escalada de privilegios.

Contexto del Incidente

La vulnerabilidad detectada afecta a equipos Framework enviados con firmware que incluye, en la partición EFI, el componente UEFI Shell firmado. Esta herramienta, normalmente utilizada para tareas de diagnóstico y recuperación, se encuentra firmada con certificados válidos, lo que le permite ejecutarse incluso en sistemas donde Secure Boot está habilitado y supuestamente restringe la ejecución de binarios no autorizados. La presencia de un UEFI Shell firmado y preinstalado expone a los dispositivos a la ejecución de código arbitrario durante el proceso de arranque, comprometiendo la integridad del sistema desde su fase más temprana.

Detalles Técnicos

La vulnerabilidad se encuentra registrada bajo el identificador CVE-2024-28234. El ataque se basa en aprovechar el UEFI Shell firmado para ejecutar scripts o binarios maliciosos desde la partición EFI, burlando las políticas de Secure Boot. El vector de ataque es particularmente preocupante porque el shell UEFI es reconocido y permitido por el firmware como un ejecutable legítimo. Un atacante con acceso físico o mediante una intrusión previa podría introducir scripts maliciosos (por ejemplo, startup.nsh) en la partición EFI; el shell los ejecutaría antes de que el sistema operativo se inicie.

En términos de MITRE ATT&CK, esta técnica se alinea con los TTPs TA0003 (Persistence), T1542.002 (Pre-OS Boot: UEFI), y TA0005 (Defense Evasion), ya que permite la manipulación de la cadena de arranque para adquirir persistencia y evadir controles de seguridad. Los Indicadores de Compromiso (IoC) incluyen la presencia inesperada del binario UEFI Shell (usualmente Shell.efi) en la partición EFI, modificaciones recientes en /EFI/BOOT o /EFI/Framework, y scripts de automatización en formato .nsh.

Hasta la fecha, no se han publicado exploits públicos en frameworks como Metasploit o Cobalt Strike, pero la facilidad de abuso del componente legítimo y la disponibilidad de documentación sobre scripting en UEFI Shell elevan el riesgo.

Impacto y Riesgos

El alcance del incidente se estima en unos 200.000 sistemas distribuidos, según datos de Framework. Los riesgos principales incluyen:

– Compromiso de la cadena de arranque (bootkit), permitiendo la ejecución de rootkits o la alteración persistente del sistema.
– Evasión de Secure Boot, haciendo inútil una de las barreras clave contra malware persistente a nivel de firmware.
– Posible inhabilitación de mecanismos de protección de integridad que dependen de la fiabilidad del arranque seguro.
– Riesgo de cumplimiento normativo, especialmente para organizaciones sujetas a GDPR, NIS2 o directivas nacionales de ciberseguridad, al no asegurar la integridad del dispositivo desde el arranque.

Medidas de Mitigación y Recomendaciones

Framework ha publicado una actualización de firmware que elimina el componente UEFI Shell firmado de la partición EFI, recomendando su instalación inmediata en todos los sistemas afectados. Los administradores deben:

1. Auditar la partición EFI en busca de Shell.efi y scripts .nsh sospechosos.
2. Aplicar la actualización de firmware oficial proporcionada por Framework.
3. Monitorizar logs de arranque y cambios en la partición EFI para identificar actividades no autorizadas.
4. Reconfigurar las políticas de Secure Boot para restringir la ejecución únicamente a binarios estrictamente necesarios, evitando la inclusión de utilidades genéricas.
5. Establecer controles de acceso físico y de gestión de dispositivos para minimizar la exposición a ataques locales.

Opinión de Expertos

Especialistas del sector, como Kevin Beaumont (GossiTheDog), han subrayado la gravedad de permitir utilidades genéricas firmadas en entornos protegidos por Secure Boot. Según Beaumont, “la inclusión de herramientas firmadas que no son estrictamente necesarias en el arranque es una práctica de riesgo que puede socavar la integridad de todo el ecosistema de arranque seguro”. Otros analistas advierten que la tendencia a facilitar la recuperación o el soporte técnico mediante herramientas EFI debe ser revaluada frente al creciente uso de ataques a la cadena de arranque por parte de actores APT.

Implicaciones para Empresas y Usuarios

Para entornos empresariales, especialmente aquellos que gestionan flotas de dispositivos Linux, el incidente obliga a revisar los procedimientos de despliegue y mantenimiento de firmware. La presencia de utilidades UEFI firmadas amplía la superficie de ataque y puede suponer una brecha de cumplimiento bajo marcos regulatorios como GDPR y NIS2, que exigen el aseguramiento de la integridad y disponibilidad de los sistemas críticos.

Los usuarios particulares, aunque en menor medida, también deben atender el problema aplicando las actualizaciones y revisando la configuración de Secure Boot, especialmente si utilizan sus dispositivos en entornos sensibles o para operaciones críticas.

Conclusiones

El caso de Framework pone de manifiesto la importancia de auditar cuidadosamente los componentes preinstalados en la cadena de arranque, incluso aquellos firmados y supuestamente legítimos. El hecho de que Secure Boot pueda ser burlado mediante la inclusión de herramientas genéricas firmadas debe servir de advertencia tanto a fabricantes como a administradores y profesionales de la seguridad. Mantener el firmware actualizado, restringir los binarios autorizados y auditar la integridad del arranque son prácticas imprescindibles para prevenir ataques avanzados y cumplir con las exigencias regulatorias actuales.

(Fuente: www.bleepingcomputer.com)