Vulnerabilidad en IncusOS (CVE-2026-32606)

IncusOS es una imagen de SO inmutable dedicada a ejecutar Incus. Antes de 202603142010, la configuración predeterminada de systemd-cryptenroll utilizada por IncusOS a través de mkosi permite a un atacante con acceso físico a la máquina acceder a los datos cifrados sin requerir ninguna interacción por parte del propietario del sistema ni ninguna manipulación del estado de Secure Boot o de la imagen de arranque del kernel (UKI). Esto se debe a que, en esta configuración, la clave LUKS es puesta a disposición por el TPM siempre y cuando el sistema tenga el valor PCR7 esperado y la política PCR11 coincida. Esa política PCR11 predeterminada, de manera importante, permite al TPM liberar la clave al sistema arrancado en lugar de solo desde la parte initrd de la imagen del kernel firmada (UKI). El ataque se basa en que el atacante pueda sustituir la partición raíz cifrada original por una que ellos controlan. Al hacerlo, el sistema solicitará una clave de recuperación al arrancar, que el atacante ha definido y puede proporcionar, antes de arrancar el sistema utilizando la partición raíz del atacante en lugar de la original del sistema. El atacante solo necesita colocar una unidad systemd que se inicie con el arranque del sistema dentro de su partición raíz para que el sistema ejecute esa lógica al arrancar. Esa unidad se ejecutará entonces en un entorno donde el TPM permitirá la recuperación de la clave de cifrado del disco raíz real, permitiendo al atacante robar la clave de volumen LUKS (clave maestra inmutable) y luego usarla contra el disco raíz real, alterándolo o extrayendo datos antes de volver a colocar el disco como estaba y devolver el sistema sin dejar rastro de que este ataque haya ocurrido. Todo esto es posible porque el sistema habrá arrancado con Secure Boot habilitado, habrá medido y ejecutado el cargador de arranque y la imagen del kernel (UKI) esperados. El initrd selecciona el disco raíz basándose en identificadores de partición GPT, lo que hace posible sustituir fácilmente el disco raíz real por uno controlado por un atacante. Esto no provoca ningún cambio en el estado del TPM y, por lo tanto, permite la recuperación de la clave LUKS por parte del atacante a través de una unidad systemd en tiempo de arranque en su partición raíz alternativa. La versión de IncusOS 202603142010 (14/03/2026 20:10 UTC) incluye la nueva lógica PCR15 y actualizará automáticamente la política del TPM al arrancar. Cualquiera que sospeche que su sistema pudo haber sido accedido físicamente mientras estaba apagado debe realizar un borrado completo del sistema y una reinstalación, ya que solo eso rotará la clave de volumen LUKS y evitará el acceso posterior a los datos cifrados en caso de que el sistema haya sido comprometido previamente. No se conocen soluciones alternativas aparte de actualizar a una versión con lógica corregida que reasociará automáticamente las claves LUKS al nuevo conjunto de registros TPM y evitará que esto sea explotado.