هذه هي الطريقة التي يستفيدون بها من خطأ Snap من خلال اقتراح حزم لم يتم التحقق منها 

التقط المصيدة

قد يؤدي وجود خطأ في Ubuntu إلى قيام المستخدم بتثبيت حزم ضارة

كشف باحثون في شركة Aqua Security في الآونة الأخيرة، من خلال منشور مدونة، احتمالية وقوع هجوم يستهدف مستخدمي Ubuntu، مستفيدًا من إحدى الوظائف الأكثر شهرة وأيضًا من جهل المستخدمين أو إهمالهم.

ولمستخدمي Linux بشكل عام، واحدة من الرسائل الأكثر شيوعا الذي نجده عادة عندما نكون في المحطة هو المشهور "الأمر غير موجود." تخبرنا هذه الرسالة الشهيرة أن ما نطلبه ليس موجودًا في النظام (في معظم الحالات) أو أننا نكتب شيئًا خاطئًا.

لن يسمح لي أحد بالكذب، لقد حدث هذا لنا جميعًا، إما لأننا نعتقد ونتأكد من أن الحزمة أو التطبيق الذي سنعمل به في الجهاز موجود في نظامنا أو ببساطة لأننا كتبنا بعض الحروف بشكل خاطئ عن غير قصد و في تلك اللحظة نحصل على "الأمر غير الأساسي". كما تعلمون جميعا، عندما تظهر هذه الرسالة نحنعادة ما يقدم توصية التثبيت من الحزمة المذكورة التي لم يتم العثور عليها. والمثال العملي للرسالة سيكون مثل هذا:

Command 'Firefox' not found, but can be installed with:

sudo apt install "paquete 1 recomendado"

sudo snap install "paquete malicioso"

وعلى هذا النحو، يوفر برنامج التشغيل هذا تلميحًا عند محاولة بدء تشغيل برنامج غير موجود على النظام.

وبالعودة إلى جوهر المقال، فإناكتشف باحثو Aqua Security مشكلة يا له من جذريأ في طريقة تقييم الأوامر لتشغيل تلك غير الموجودة على النظام، حيث إنها لا توصي فقط بتثبيت الحزم من المستودعات القياسية، ولكن أيضًا تلتقط الحزم من دليل snapcraft.io عند تقديم التوصيات.

بالإضافة إلى ذلك، تشير أبحاثنا إلى أن ما يصل إلى 26% من الأوامر المرتبطة بحزم أداة الحزم المتقدمة (APT) معرضة للانتحال من قبل الجهات الخبيثة. يمكن أن تمهد هذه المشكلة الطريق لهجمات سلسلة التوريد التي تؤثر على مستخدمي Linux وWindows الذين يستخدمون WSL. تتعمق هذه المدونة في التفاصيل التشغيلية لأمر لم يتم العثور عليه، والمخاطر المرتبطة بتثبيت حزم مبكرة مخترقة، ومتجهات الهجوم المختلفة التي يمكن استغلالها.

عندما يتم تقديم التوصية بناءً على محتويات دليل snapcraft.io، برنامج التشغيل وعلى هذا النحو، فهو لا يقوم بتقييم حالة الحزمة ويغطي فقط الحزم المضافة إلى الدليل من قبل مستخدمين لم يتم التحقق منهم. لذلك، يمكن للمهاجم وضع حزمة تحتوي على محتوى ضار مخفي على snapcraft.io، باسم يتداخل مع حزم DEB الموجودة، أو البرامج التي لم تكن موجودة في المستودع في الأصل، أو التطبيقات الوهمية التي تعكس أسماؤها الأخطاء المطبعية والأخطاء النموذجية. أسماء المرافق الشعبية.

على سبيل المثال يمكن للمهاجم إسقاط حزم مثل "Firefox-123" مع توقع أن يرتكب المستخدم أخطاء عند كتابة أسماء الأدوات المساعدة وفي هذه الحالة، سيوصي "command-not-found" بتثبيت الحزم الضارة التي وضعها المهاجم من snapcraft.io.

قد لا يكون المستخدم على علم بالمشكلة وأعتقد أن النظام يوصي فقط بالحزم التي تم اختبارها. بجانب، يمكن للمهاجم إسقاط حزمة على snapcraft.io يتداخل اسمها مع حزم DEB الموجودة أو مع بعض الجاذبية في الاسم. في هذا السيناريو، سيقدم "command-not-found" توصيتين لتثبيت DEB وSnap، ويمكن للمستخدم اختيار Snap، معتبرا أنها أكثر أمانًا أو مغرية بالإصدار الجديد.

لا يمكن تشغيل تطبيقات Snap التي يسمح بها snapcraft.io للمراجعة التلقائية إلا في بيئة معزولة. ومع ذلك، يمكن للمهاجم الاستفادة من وضع الحماية هذا، على سبيل المثال، لتعدين العملات المشفرة، أو تنفيذ هجمات DDoS، أو إرسال رسائل غير مرغوب فيها.

وبالإضافة إلى ذلك، يمكن للمهاجم استخدام تقنيات تجاوز العزل على الحزم الضارة. يتضمن ذلك استغلال الثغرات الأمنية غير المصححة في النواة وآليات العزل، باستخدام واجهات مبكرة للوصول إلى الموارد الخارجية (مثل تسجيلات الصوت والفيديو المخفية)، أو التقاط مدخلات لوحة المفاتيح عند استخدام بروتوكول X11 (لإنشاء برامج تسجيل المفاتيح التي تعمل في بيئة الحماية).

يوصي باحثو شركة Aqua Security، للحماية من مثل هذه التهديدات، باتخاذ العديد من التدابير الوقائية:

  • يجب على المستخدمين التحقق من أصل الحزمة قبل التثبيت، والتحقق من مصداقية المشرفين والنظام الأساسي الموصى به (إما snap أو APT).
  • يجب على مطوري Snap الذين لديهم اسم مستعار تسجيل الاسم المقابل على الفور إذا كان يتوافق مع التطبيق الخاص بهم لمنع سوء الاستخدام.
  • يتم تشجيع مطوري حزم APT على تسجيل الاسم المقترن بأوامرهم، لحمايتهم بشكل استباقي من الانتحال المحتمل من قبل المهاجمين.

أخيرًا ، إذا كنت مهتمًا بأن تكون قادرًا على معرفة المزيد عنها ، فيمكنك الرجوع إلى التفاصيل في الرابط التالي.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.