Servidores Dell PowerEdge: Información adicional sobre la divulgación de vulnerabilidades de marzo de 2021 (GRUB)
Summary: Las vulnerabilidades en GRUB (Grand Unified Bootloader) pueden permitir la omisión del arranque seguro.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Productos afectados:
Servidores Dell PowerEdge y plataformas aprovechadas
Details
Referencia:
Las asesorías del proveedor del sistema operativo se encuentran en el siguiente aviso de seguridad de Dell. Consulte el artículo 183699 de la base de conocimientos: DSN-2021-002: Respuesta de Dell a la divulgación de la vulnerabilidad Grub2 del 2 de marzo de 2021
Recommendations
Preguntas frecuentes:
Pregunta: ¿Qué plataformas se ven afectadas?
Respuesta: Los servidores Dell PowerEdge y las plataformas aprovechadas que tienen habilitado el arranque seguro UEFI se ven afectados. Dell recomienda que los clientes revisen las asesorías del proveedor del sistema operativo para obtener más información, incluida la identificación adecuada y las medidas de mitigación adicionales.
El Cliente debe seguir las prácticas recomendadas de seguridad y evitar el acceso físico no autorizado a los dispositivos. El cliente también puede tomar las siguientes medidas para protegerse aún más de los ataques físicos.
Respuesta: Sí. Los sistemas operativos Windows se ven afectados. Un actor malicioso que tenga acceso físico a la plataforma, o privilegios de administrador del SO, puede cargar un malware binario GRUB UEFI vulnerable y de tiempo de arranque. Consulte: ADV200011 - Guía de actualizaciones de seguridad - Microsoft - Guía de Microsoft para abordar la omisión de características de seguridad en GRUB
Pregunta: Utilizo el sistema operativo VMWare ESXi. ¿Me veo afectado?
Una. Consulte: Respuesta de VMware a la vulnerabilidad
de seguridad de GRUB2Pregunta: ¿Qué debo hacer para abordar esta vulnerabilidad?
Respuesta: Parche de GRUB: como parte de las asesorías de los proveedores del sistema operativo Linux, se espera que implementen binarios GRUB actualizados o, en algunos casos, actualizaciones del kernel también. Le recomendamos que siga las recomendaciones publicadas de los proveedores de distribución de Linux para actualizar los paquetes afectados, en el orden correcto, a las últimas versiones suministradas por el proveedor de distribución de Linux.
Pregunta: Estoy ejecutando Linux. ¿Cómo puedo saber si el arranque seguro está activado en mi sistema?
Respuesta: Para verificar el estado de arranque seguro del sistema, utilice el siguiente comando del SO:
El arranque UEFI está deshabilitado; El arranque seguro está deshabilitado:
El arranque UEFI está habilitado; El arranque seguro está deshabilitado:
El arranque seguro está habilitado:
Pregunta: Instalé los parches siguiendo las asesorías de distribución de Linux, pero mi sistema ya no arranca.
Un: Si el arranque seguro falla después de aplicar las actualizaciones del proveedor de distribución de Linux, utilice una de las siguientes opciones para realizar la recuperación:
Advertencia: Una vez que la base de datos dbx se restablece al valor predeterminado de fábrica, el sistema ya no tiene parches y es vulnerable a estas y otras vulnerabilidades corregidas en actualizaciones posteriores.
Pregunta: Configuré mi servidor Dell para que no utilice el certificado público de la CA de UEFI en la base de datos de firma autorizada (db) de arranque seguro. ¿Mi servidor Dell aún es susceptible a los ataques GRUB2?
Respuesta: No, una vez que haya hecho esto, habrá implementado la característica de personalización de arranque seguro UEFI y su sistema ya no es susceptible a las vulnerabilidades conocidas actualmente (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 y CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706 y CVE-2020-15707 )
P: ¿Cómo puedo ver lo que hay en la base de datos de firma autorizada (db) de arranque seguro de mi servidor?
Respuesta: Revise este documento aquí. Puede hacer esto a través de RACADM, WS-MAN, WINRM, Redfish y la configuración F2 del BIOS, según cómo haya configurado el control de acceso.
Referencias adicionales:
Para obtener información adicional sobre las vulnerabilidades de GRUB2, consulte Servidores Dell EMC PowerEdge: Información adicional sobre la vulnerabilidad de GRUB2: "BootHole"
Pregunta: ¿Qué plataformas se ven afectadas?
Respuesta: Los servidores Dell PowerEdge y las plataformas aprovechadas que tienen habilitado el arranque seguro UEFI se ven afectados. Dell recomienda que los clientes revisen las asesorías del proveedor del sistema operativo para obtener más información, incluida la identificación adecuada y las medidas de mitigación adicionales.
El Cliente debe seguir las prácticas recomendadas de seguridad y evitar el acceso físico no autorizado a los dispositivos. El cliente también puede tomar las siguientes medidas para protegerse aún más de los ataques físicos.
- Establezca la contraseña de administrador del BIOS para evitar alteraciones en los ajustes del BIOS, como el dispositivo de arranque y el modo de arranque seguro.
- Configure los ajustes de arranque para permitir solo el arranque en el dispositivo de arranque interno.
Respuesta: Sí. Los sistemas operativos Windows se ven afectados. Un actor malicioso que tenga acceso físico a la plataforma, o privilegios de administrador del SO, puede cargar un malware binario GRUB UEFI vulnerable y de tiempo de arranque. Consulte: ADV200011 - Guía de actualizaciones de seguridad - Microsoft - Guía de Microsoft para abordar la omisión de características de seguridad en GRUB
Pregunta: Utilizo el sistema operativo VMWare ESXi. ¿Me veo afectado?
Una. Consulte: Respuesta de VMware a la vulnerabilidad
de seguridad de GRUB2Pregunta: ¿Qué debo hacer para abordar esta vulnerabilidad?
Respuesta: Parche de GRUB: como parte de las asesorías de los proveedores del sistema operativo Linux, se espera que implementen binarios GRUB actualizados o, en algunos casos, actualizaciones del kernel también. Le recomendamos que siga las recomendaciones publicadas de los proveedores de distribución de Linux para actualizar los paquetes afectados, en el orden correcto, a las últimas versiones suministradas por el proveedor de distribución de Linux.
Pregunta: Estoy ejecutando Linux. ¿Cómo puedo saber si el arranque seguro está activado en mi sistema?
Respuesta: Para verificar el estado de arranque seguro del sistema, utilice el siguiente comando del SO:
El arranque UEFI está deshabilitado; El arranque seguro está deshabilitado:
# mokutil --sb-state
Las variables EFI no son compatibles con este sistema
Las variables EFI no son compatibles con este sistema
El arranque UEFI está habilitado; El arranque seguro está deshabilitado:
# mokutil --sb-state
SecureBoot deshabilitado
SecureBoot deshabilitado
El arranque seguro está habilitado:
# mokutil --sb-state
SecureBoot habilitado
SecureBoot habilitado
Pregunta: Instalé los parches siguiendo las asesorías de distribución de Linux, pero mi sistema ya no arranca.
Un: Si el arranque seguro falla después de aplicar las actualizaciones del proveedor de distribución de Linux, utilice una de las siguientes opciones para realizar la recuperación:
- Inicie en un DVD de rescate e intente reinstalar la versión anterior de shim, grub2 y kernel.
- Restablezca la base de datos dbx del BIOS al valor predeterminado de fábrica y elimine las actualizaciones dbx aplicadas (ya sea del proveedor del SO u otros medios) mediante el siguiente procedimiento:
1. Ingrese a la configuración del BIOS (F2)
2. Seleccione "Seguridad del sistema"
3. Establezca "Secure Boot Policy" en "Custom"
4. Seleccione "Configuración de política personalizada de arranque seguro"
5. Seleccione "Base de datos de firma prohibida (dbx)"
6. Seleccione "Restaurar la base de datos de firma prohibida predeterminada" -> "Sí" -> "Aceptar"
7. Establezca "Política de arranque seguro" en "Estándar"
8. Guardar y salir
2. Seleccione "Seguridad del sistema"
3. Establezca "Secure Boot Policy" en "Custom"
4. Seleccione "Configuración de política personalizada de arranque seguro"
5. Seleccione "Base de datos de firma prohibida (dbx)"
6. Seleccione "Restaurar la base de datos de firma prohibida predeterminada" -> "Sí" -> "Aceptar"
7. Establezca "Política de arranque seguro" en "Estándar"
8. Guardar y salir
Advertencia: Una vez que la base de datos dbx se restablece al valor predeterminado de fábrica, el sistema ya no tiene parches y es vulnerable a estas y otras vulnerabilidades corregidas en actualizaciones posteriores.
Pregunta: Configuré mi servidor Dell para que no utilice el certificado público de la CA de UEFI en la base de datos de firma autorizada (db) de arranque seguro. ¿Mi servidor Dell aún es susceptible a los ataques GRUB2?
Respuesta: No, una vez que haya hecho esto, habrá implementado la característica de personalización de arranque seguro UEFI y su sistema ya no es susceptible a las vulnerabilidades conocidas actualmente (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 y CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706 y CVE-2020-15707 )
P: ¿Cómo puedo ver lo que hay en la base de datos de firma autorizada (db) de arranque seguro de mi servidor?
Respuesta: Revise este documento aquí. Puede hacer esto a través de RACADM, WS-MAN, WINRM, Redfish y la configuración F2 del BIOS, según cómo haya configurado el control de acceso.
Referencias adicionales:
Para obtener información adicional sobre las vulnerabilidades de GRUB2, consulte Servidores Dell EMC PowerEdge: Información adicional sobre la vulnerabilidad de GRUB2: "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.