Auf diese Weise nutzen sie einen Snap-Fehler aus, indem sie nicht verifizierte Pakete vorschlagen 

Darkcrizt

4 Minuten

Schnappfalle

Ein Fehler in Ubuntu kann dazu führen, dass der Benutzer schädliche Pakete installiert

Forscher von Aqua Security enthüllten Kürzlich wurde in einem Blogbeitrag die Möglichkeit eines Angriffs auf Ubuntu-Benutzer, indem es sich eine der bekanntesten Funktionen und auch die Unwissenheit oder Nachlässigkeit der Benutzer zunutze macht.

Und für Linux-Benutzer im Allgemeinen: eine der häufigsten Nachrichten Das, was wir normalerweise finden, wenn wir im Terminal sind, ist das berühmte „Befehl-nicht-gefunden.“ Diese berühmte Nachricht sagt uns, dass das, was wir anfordern, (in den meisten Fällen) nicht im System ist oder dass wir etwas falsch eingeben.

Niemand wird mich lügen lassen, es ist uns allen passiert, entweder weil wir glauben und sicher sind, dass das Paket oder die Anwendung, mit der wir im Terminal arbeiten werden, in unserem System ist, oder einfach weil wir versehentlich einen Buchstaben falsch eingegeben haben und In diesem Moment erhalten wir den „Befehl-nicht-Foun“. Wie Sie alle wissen, sind wir es, wenn diese Nachricht erscheintgibt in der Regel die Installationsempfehlung ab des Pakets, das nicht gefunden wurde. Ein praktisches Beispiel für die Nachricht könnte etwa so aussehen:

Command 'Firefox' not found, but can be installed with:

sudo apt install "paquete 1 recomendado"

sudo snap install "paquete malicioso"

Daher bietet dieser Treiber einen Hinweis, wenn versucht wird, ein Programm zu starten, das nicht auf dem System vorhanden ist.

Zurück zum Kern des Artikels, dem iDie Forscher von Aqua Security haben ein Problem entdeckt Was für eine Radikalitäta in der Art und Weise, wie Befehle ausgewertet werden um diejenigen auszuführen, die nicht auf dem System vorhanden sind, da es nicht nur die Installation von Paketen aus den Standard-Repositorys empfiehlt, sondern auch Snap-Pakete aus dem Verzeichnis snapcraft.io, wenn es Empfehlungen gibt.

Darüber hinaus zeigen unsere Untersuchungen, dass bis zu 26 % der mit Advanced Package Tool (APT)-Paketen verbundenen Befehle anfällig für Spoofing durch böswillige Akteure sind. Dieses Problem könnte den Weg für Angriffe auf die Lieferkette ebnen, die Linux- und Windows-Benutzer betreffen, die WSL ausführen. Dieser Blog befasst sich mit den betrieblichen Details von Command-not-found, den Risiken, die mit der Installation kompromittierter Snap-Pakete verbunden sind, und den verschiedenen Angriffsvektoren, die ausgenutzt werden könnten.

Wenn eine Empfehlung ausgesprochen wird basierend auf dem Inhalt des snapcraft.io-Verzeichnisses, dem Treiber Daher wird der Paketstatus nicht ausgewertet und nur Pakete berücksichtigt, die dem Verzeichnis hinzugefügt wurden von nicht verifizierten Benutzern. Daher kann ein Angreifer ein Paket mit versteckten schädlichen Inhalten auf snapcraft.io platzieren, dessen Name sich mit vorhandenen DEB-Paketen überschneidet, Programme, die ursprünglich nicht im Repository waren, oder fiktive Anwendungen, deren Namen Tippfehler und typische Fehler widerspiegeln. Benutzer beim Tippen die Namen beliebter Versorgungsunternehmen.

Zum Beispiel Ein Angreifer kann Pakete wie „Firefox-123“ verwerfen. mit der Erwartung, dass der Benutzer Fehler macht, wenn er die Namen der Dienstprogramme eingibt, und in diesem Fall empfiehlt „command-not-found“ die Installation der vom Angreifer platzierten Schadpakete von snapcraft.io.

Der Benutzer ist sich des Problems möglicherweise nicht bewusst und denken, dass das System nur getestete Pakete empfiehlt. Außerdem, Ein Angreifer kann ein Paket auf snapcraft.io ablegen, dessen Name sich mit vorhandenen DEB-Paketen überschneidet oder mit einer Anziehungskraft im Namen. In diesem Szenario gibt „command-not-found“ zwei Empfehlungen zur Installation von DEB und Snap, und der Benutzer kann Snap wählen, wenn er es für sicherer hält oder von der neuen Version in Versuchung geführt wird.

Von snapcraft.io zur automatischen Überprüfung zugelassene Snap-Apps können nur in einer isolierten Umgebung ausgeführt werden. Ein Angreifer kann diese Sandbox jedoch ausnutzen, um beispielsweise Kryptowährungen zu schürfen, DDoS-Angriffe durchzuführen oder Spam zu versenden.

Zusätzlich Ein Angreifer kann Isolations-Bypass-Techniken für bösartige Pakete verwenden. Dazu gehört das Ausnutzen ungepatchter Schwachstellen im Kernel und Isolationsmechanismen, die Verwendung von Snap-Schnittstellen für den Zugriff auf externe Ressourcen (z. B. versteckte Audio- und Videoaufzeichnungen) oder das Erfassen von Tastatureingaben bei Verwendung des X11-Protokolls (um Keylogger zu erstellen, die in einer Sandbox-Umgebung funktionieren).

Die Forscher von Aqua Security empfehlen, zum Schutz vor solchen Bedrohungen mehrere vorbeugende Maßnahmen zu ergreifen:

  • Benutzer sollten vor der Installation die Herkunft eines Pakets überprüfen und dabei die Glaubwürdigkeit der Betreuer und der empfohlenen Plattform (entweder Snap oder APT) überprüfen.
  • Snap-Entwickler mit einem Alias ​​sollten den entsprechenden Namen sofort registrieren, wenn er zu ihrer App passt, um Missbrauch vorzubeugen.
  • Entwicklern von APT-Paketen wird empfohlen, den mit ihren Befehlen verknüpften Snap-Namen zu registrieren, um sie präventiv vor möglichem Spoofing durch Angreifer zu schützen.

Wenn Sie daran interessiert sind, mehr darüber zu erfahren, können Sie die Details im folgenden Link


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.