S'ha identificat una vulnerabilitat en l'administrador de paquets d'APT (CVE-2019-3462), Que permet a un atacant iniciar una falsificació de l'paquet instal·lat si l'atacant té el control de l'espill de l'repositori o pot interrompre el trànsit de trànsit entre l'usuari i el repositori (atac MITM).
El problema va ser identificat per l'investigador de seguretat Max Justicz, Conegut per detectar vulnerabilitats en el gestor de paquets APK (Alpine) i en els repositoris Packagist, NPM i RubyGems.
el problema es deu a una verificació incorrecta dels camps en el codi de processament de redireccionament HTTP.
En què consisteix el problema?
aquesta vulnerabilitat permet a un atacant substituir el seu propi contingut en les dades transmeses dins de la sessió HTTP (Debian i Ubuntu fan servir HTTP i no HTTPS per accedir a l'repositori, assumint que la signatura digital és suficient amb la coincidència de metadades i la mida de paquet).
La vulnerabilitat identificada li permet a l'atacant poder reemplaçar el paquet transmès, després de la qual cosa l'APT el percebrà com rebut de la rèplica oficial i iniciarà el procés d'instal·lació.
A través de la inclusió en el paquet maliciós de scripts llançats durant la instal·lació, un atacant pot aconseguir l'execució del seu codi en un sistema amb privilegis de root.
Per descarregar dades de l'repositori, APT inicia un procés secundari amb la implementació d'un transport específic i organitza la interacció amb aquest procés mitjançant un protocol de text simple amb la divisió de comandaments per una línia buida.
¿Com detecto el problema?
L'essència de el problema és que el gestor de HTTP transport, A l'rebre una resposta de servidor HTTP amb la capçalera «Location:», sol·licita confirmació de la redirecció de l'procés principal.
Transferint completament el contingut d'aquest capçalera. A causa de la falta de neteja dels caràcters especials transmesos, un atacant pot especificar un salt de línia en el camp «Location:»
Atès que aquest valor es decodificarà i transmetrà a través del canal de comunicació amb el procés principal, l'atacant pot simular una resposta diferent de la nansa d'HTTP transport i substituir el bloc simulat 201 URI.
Per exemple, si, a l'sol·licitar un paquet, l'atacant substituirà la resposta, aquesta substitució donarà lloc a la transferència de el següent bloc de dades a el procés principal.
El càlcul de hashes per als arxius descarregats és manejat i el procés principal simplement verifica aquestes dades amb hashes de la base de dades de paquets signats.
Entre les metadades, un atacant pot especificar qualsevol valor de hashes de prova vinculat a la base de dades a paquets signats reals, però en realitat no correspon als hashes de l'arxiu transferit.
El procés principal acceptarà el codi de resposta substituït per l'atac, buscarà el hash a la base de dades i considera que el paquet per al qual hi ha una signatura digital correcta està carregat, encara que en realitat el valor de camp amb el hash es substitueix en el canal de comunicació amb el procés principal mitjançant l'atac i l'arxiu especificat en les metadades substituïts.
La descàrrega d'un paquet maliciós es realitza adjuntant el paquet a l'arxiu Release.gpg, durant la seva transferència.
Aquest fitxer té una ubicació predictible en el sistema d'arxius i adjuntar un paquet al seu inici no afecta l'extracció de la signatura digital de l'repositori.
A l'obtenir dades, apt desactiva els processos de treball que s'especialitzen en els diferents protocols que s'utilitzaran per a la transferència de dades.
El procés principal després es comunica amb aquests treballadors a través de stdin / stdout per dir-los què descarregar i on col·locar-lo al sistema d'arxius mitjançant un protocol que s'assembla una mica a HTTP.
El procés principal després d'enviar la seva configuració i sol·licitarà un recurs i el procés de treball respondrà.
Quan el servidor HTTP respon amb una redirecció, el procés de treball retorna a en 103 Redirectlugar de a 201 URI Done, i el procés principal utilitza aquesta resposta per esbrinar quin recurs ha de sol·licitar a continuació.