CVE-2025-47827
IGEL IGEL OS
2025-10-14
IGEL OS contains a use of a key past its expiration date vulnerability that allows for Secure Boot bypass. The igel-flash-driver module improperly verifies a cryptographic signature. Ultimately, a crafted root filesystem can be mounted from an unverified SquashFS image.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CVE-2025-47827) в операционной системе IGEL OS связана с использованием криптографического ключа с истекшим сроком действия.
Модуль igel-flash-driver некорректно проверяет цифровую подпись, игнорируя срок годности сертификата.
Это позволяет злоумышленнику полностью обойти механизм безопасной загрузки (Secure Boot).
В результате атакующий может подменить легитимный образ системы и смонтировать специально подготовленную вредоносную корневую файловую систему из непроверенного образа SquashFS.
Успешная эксплуатация приводит к компрометации устройства на уровне ОС, выполнению несанкционированного кода и закреплению злоумышленника в системе.
Как исправить
Основным и единственным надежным способом устранения данной уязвимости является обновление операционной системы IGEL OS до пропатченной версии, где исправлена логика работы модуля igel-flash-driver и отозваны устаревшие ключи.
* Откройте консоль управления IGEL Universal Management Suite (UMS).
* Проверьте текущие версии прошивок на ваших конечных устройствах.
* Загрузите актуальную версию прошивки IGEL OS, содержащую исправление для CVE-2025-47827, с официального портала загрузок IGEL.
* Импортируйте загруженный образ в UMS (Universal Firmware Update).
* Создайте профиль обновления и назначьте его на директории с уязвимыми тонкими клиентами.
* Запустите процесс обновления (Update on Boot или Update Now).
* Дождитесь перезагрузки устройств и убедитесь, что обновление прошло успешно.
* Для локальной проверки версии ОС на конкретном терминале можно использовать команду:
cat /etc/os-release
Временные меры
Если оперативное обновление прошивки невозможно, необходимо внедрить компенсирующие меры, направленные на усложнение вектора атаки (преимущественно физического или сетевого внедрения вредоносного образа): * Максимально ограничьте физический доступ к устройствам IGEL, так как подмена образа SquashFS чаще всего реализуется через локальные порты. * Установите сложный пароль администратора на настройки BIOS/UEFI для всех конечных устройств. * Жестко отключите возможность загрузки с любых внешних носителей (USB, PXE, CD/DVD) на уровне BIOS/UEFI. * В консоли IGEL UMS настройте политики USB Access Control, полностью запретив монтирование внешних USB-накопителей (Mass Storage Devices). * Убедитесь, что связь между тонкими клиентами и сервером UMS осуществляется исключительно по защищенным каналам (TLS с проверкой сертификатов) для предотвращения атак Man-in-the-Middle (MitM) и подмены обновлений по сети. * Настройте алерты в UMS на несанкционированные перезагрузки устройств или потерю связи с клиентами, что может свидетельствовать о попытках эксплуатации.