Ovako koriste prednost Snap greške tako što predlažu neprovjerene pakete 

Darkcrizt

4 minuta

Snap Trap

Greška u Ubuntu-u može navesti korisnika da instalira zlonamjerne pakete

Otkrili su istraživači Aqua Security Nedavno, putem posta na blogu, the mogućnost napada na Ubuntu korisnike, koristeći prednosti jedne od najpoznatijih funkcija, kao i neznanje ili nepažnju korisnika.

A za korisnike Linuxa općenito, jedna od najčešćih poruka ono što obično nađemo kada smo u terminalu je poznato "naredba-nije-nađena." Ova poznata poruka nam govori da ono što tražimo nije u sistemu (u većini slučajeva) ili da nešto pogrešno kucamo.

Niko me neće dopustiti da lažem, svima nam se to desilo, bilo zato što vjerujemo i sigurni smo da je paket ili aplikacija sa kojom ćemo raditi u terminalu u našem sistemu ili jednostavno zato što smo nehotice pogrešno otkucali neko slovo i u tom trenutku dobijamo „komanda-ne-nađeno“. Kao što svi znate, kada se pojavi ova poruka mi jesmoobično daje preporuku za instalaciju navedenog paketa koji nije pronađen. Praktični primjer poruke bi bio otprilike ovako:

Command 'Firefox' not found, but can be installed with:

sudo apt install "paquete 1 recomendado"

sudo snap install "paquete malicioso"

Kao takav, ovaj drajver daje nagoveštaj kada pokušavate da pokrenete program koji nije na sistemu.

Vraćajući se na poentu članka, iIstraživači Aqua Security otkrili su problem kakav radikala u načinu na koji se komande evaluiraju da pokrene one koji nisu prisutni na sistemu, jer ne samo da preporučuje instalaciju paketa iz standardnih spremišta, već i snap pakete iz direktorija snapcraft.io kada nudi preporuke.

Pored toga, naše istraživanje pokazuje da je do 26% komandi povezanih s paketima alata za napredne pakete (APT) podložno lažiranju od strane zlonamjernih aktera. Ovaj problem bi mogao utrti put za napade na lanac nabavke koji utiču na korisnike Linuxa i Windowsa koji koriste WSL. Ovaj blog se bavi operativnim detaljima komande-nije pronađene, rizicima povezanim sa instaliranjem kompromitovanih snap paketa i različitim vektorima napada koji se mogu iskoristiti.

Kada se da preporuka na osnovu sadržaja direktorija snapcraft.io, drajvera kao takav ne procjenjuje status paketa i pokriva samo pakete dodane u direktorij od strane neprovjerenih korisnika. Stoga, napadač može postaviti paket sa skrivenim zlonamjernim sadržajem na snapcraft.io, s imenom koje se preklapa sa postojećim DEB paketima, programima koji nisu prvobitno bili u spremištu ili fiktivnim aplikacijama čija imena odražavaju greške u kucanju i tipične greške. Korisnici prilikom kucanja imena popularnih komunalnih usluga.

Na primjer, Napadač može ispustiti pakete poput "Firefox-123" uz očekivanje da će korisnik pogriješiti prilikom kucanja imena uslužnih programa iu tom slučaju će "command-not-found" preporučiti instaliranje zlonamjernih paketa koje je napadač postavio sa snapcraft.io.

Korisnik možda nije svjestan problema i mislite da sistem preporučuje samo testirane pakete. osim toga, Napadač može ispustiti paket na snapcraft.io čije se ime preklapa sa postojećim DEB paketima ili sa nekom privlačnošću u imenu. U ovom scenariju, "command-not-found" će dati dvije preporuke za instalaciju DEB-a i snap-a, a korisnik može odabrati snap, smatrajući ga sigurnijim ili ga je u iskušenju nova verzija.

Snap aplikacije koje dozvoljava snapcraft.io za automatski pregled mogu raditi samo u izoliranom okruženju. Međutim, napadač može iskoristiti prednosti ovog sandbox-a, na primjer, za rudarenje kriptovalute, izvođenje DDoS napada ili slanje neželjene pošte.

Takođe, Napadač može koristiti tehnike zaobilaženja izolacije na zlonamjernim paketima. Ovo uključuje iskorištavanje nezakrpljenih ranjivosti u kernelu i izolacijskim mehanizmima, korištenje sučelja za brzi pristup za pristup vanjskim resursima (kao što su skriveni audio i video snimci) ili hvatanje unosa sa tastature kada se koristi X11 protokol (za kreiranje keyloggera koji rade u sandbox okruženju).

Istraživači Aqua Security preporučuju da se za zaštitu od ovakvih prijetnji poduzmu nekoliko preventivnih mjera:

  • Korisnici bi trebali provjeriti porijeklo paketa prije instalacije, provjeravajući kredibilitet održavatelja i preporučenu platformu (bilo snap ili APT).
  • Snap programeri sa pseudonimom trebali bi odmah registrirati odgovarajuće ime ako je usklađeno s njihovom aplikacijom kako bi spriječili zloupotrebu.
  • Programeri APT paketa se ohrabruju da registruju ime snap-a povezano sa svojim komandama, preventivno ih štiteći od mogućeg lažiranja od strane napadača.

Konačno, ako ste zainteresovani da saznate više o tome, možete pogledati detalje u sljedeći link.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.