Грешка в Ubuntu може да накара потребителя да инсталира злонамерени пакети
Изследователите на Aqua Security разкриха Наскоро, чрез публикация в блог, възможност за атака, насочена към потребителите на Ubuntu, възползвайки се от една от най-известните функции, а също и от невежеството или небрежността на потребителите.
И за потребителите на Linux като цяло, едно от най-често срещаните съобщения което обикновено откриваме, когато сме в терминала, е известното "command-not-foun." Това известно съобщение ни казва, че това, което искаме, не е в системата (в повечето случаи) или че въвеждаме нещо грешно.
Никой няма да ме остави да излъжа, на всички ни се е случвало или защото вярваме и сме сигурни, че пакетът или приложението, с което ще работим в терминала, е в нашата система или просто защото по невнимание сме написали грешна буква и в този момент получаваме „command-not-foun“. Както всички знаете, когато се появи това съобщение, ние смеобикновено дава препоръката за инсталиране от споменатия пакет, който не е намерен. Практически пример за съобщението би бил нещо подобно:
Command 'Firefox' not found, but can be installed with: sudo apt install "paquete 1 recomendado" sudo snap install "paquete malicioso"
Като такъв, този драйвер предоставя подсказка, когато се опитвате да стартирате програма, която не е в системата.
Връщайки се към същината на статията, iИзследователите на Aqua Security откриха проблем какъв радикалa в начина, по който се оценяват командите за стартиране на тези, които не присъстват в системата, тъй като не само препоръчва инсталирането на пакети от стандартните хранилища, но също така прихваща пакети от директорията snapcraft.io, когато предлага препоръки.
Освен това, нашето изследване показва, че до 26% от командите, свързани с пакетите Advanced Package Tool (APT), са уязвими за подправяне от злонамерени участници. Този проблем може да проправи пътя за атаки по веригата на доставки, засягащи потребители на Linux и Windows, работещи с WSL. Този блог се задълбочава в оперативните детайли на command-not-found, рисковете, свързани с инсталирането на компрометирани пакети за моментално изпълнение, и различните вектори на атака, които могат да бъдат експлоатирани.
Когато се направи препоръка въз основа на съдържанието на директорията snapcraft.io, драйверът като такъв той не оценява състоянието на пакета и обхваща само пакетите, добавени към директорията от непроверени потребители. Следователно, атакуващият може да постави пакет със скрито злонамерено съдържание на snapcraft.io, с име, което се припокрива със съществуващи DEB пакети, програми, които първоначално не са били в хранилището, или фиктивни приложения, чиито имена отразяват печатни и типични грешки. имената на популярни помощни програми.
Например Нападателят може да пусне пакети като "Firefox-123" с очакването, че потребителят ще направи грешки, когато въвежда имената на помощните програми и в този случай „command-not-found“ ще препоръча инсталирането на злонамерените пакети, поставени от нападателя от snapcraft.io.
Потребителят може да не знае за проблема и смятайте, че системата препоръчва само тествани пакети. Освен това, Нападателят може да пусне пакет на snapcraft.io, чието име се припокрива със съществуващите DEB пакети или с някаква атракция в името. В този сценарий „command-not-found“ ще даде две препоръки за инсталиране на DEB и snap и потребителят може да избере snap, считайки го за по-безопасно или изкушен от новата версия.
Snap приложенията, разрешени от snapcraft.io за автоматичен преглед, могат да работят само в изолирана среда. Нападателят обаче може да се възползва от тази пясъчна среда, например за копаене на криптовалута, извършване на DDoS атаки или изпращане на спам.
Освен това, Нападателят може да използва техники за заобикаляне на изолацията на злонамерени пакети. Това включва използване на непоправени уязвимости в ядрото и механизмите за изолация, използване на модули за бърз достъп за достъп до външни ресурси (като скрити аудио и видео записи) или улавяне на въвеждане от клавиатурата при използване на протокола X11 (за създаване на кийлогъри, които работят в среда на пясъчник).
Изследователите на Aqua Security препоръчват, за да се предпазите от подобни заплахи, да приемете няколко превантивни мерки:
- Потребителите трябва да проверят произхода на пакета преди инсталиране, като проверят надеждността на поддържащите и препоръчаната платформа (или snap, или APT).
- Разработчиците на Snap с псевдоним трябва незабавно да регистрират съответното име, ако то съответства на тяхното приложение, за да се предотврати злоупотреба.
- Разработчиците на APT пакети се насърчават да регистрират snap името, свързано с техните команди, като ги предпазват превантивно от възможно подправяне от нападатели.
И накрая, ако се интересувате да можете да научите повече за това, можете да се консултирате с подробностите в следваща връзка.