On tunnistettu haavoittuvuus APT-paketinhallinnassa (CVE-2019-3462), mitä antaa hyökkääjän käynnistää asennetun paketin huijaus onko hyökkääjällä hallintaa arkiston peilissä vai voiko se häiritä siirtoliikennettä käyttäjän ja arkiston välillä (MITM-hyökkäys).
Turvallisuustutkija Max Justicz tunnisti ongelman, joka tunnistaa haavoittuvuuksien havaitsemisesta APK-paketinhallinnassa (Alpine) ja Packagist-, NPM- ja RubyGems-arkistoissa.
Ongelma Se johtuu HTTP-uudelleenohjauksen käsittelykoodin kenttien virheellisestä vahvistamisesta.
Mikä on ongelma?
Tämä haavoittuvuus antaa hyökkääjän korvata oman sisällön HTTP-istunnon aikana lähetetyissä tiedoissa (Debian ja Ubuntu käyttävät arkistoon pääsyä HTTP: n eikä HTTPS: n avulla olettaen, että digitaalinen allekirjoitus riittää metatietojen ja pakettikoon sovittamiseen.
Tunnistettu haavoittuvuus sallii hyökkääjän voiman korvaa lähetetty paketti, minkä jälkeen APT havaitsee sen vastaanotetuksi virallisesta peilistä ja aloittaa asennuksen.
Asentamisen aikana käynnistettyjen komentosarjojen sisällyttäminen hyökkääjään voi saavuttaa koodinsa suorittamisen järjestelmässä, jolla on pääkäyttöoikeudet.
Tietojen lataamiseksi arkistosta APT käynnistää aliprosessin tietyn siirron toteuttamalla ja järjestää vuorovaikutuksen tämän prosessin kanssa käyttämällä yksinkertaista tekstiprotokollaa ja jakamalla komennot tyhjällä rivillä.
Kuinka havaitsen ongelman?
Ongelman ydin on se, että HTTP-kuljetuskäsittelijä, saatuaan vastauksen HTTP-palvelimelta otsikon "Sijainti:" kanssa, se pyytää vahvistusta uudelleenohjauksesta pääprosessista.
Siirrä tämän otsikon sisältö kokonaan. Lähetettyjen erikoismerkkien puhtauden puuttuessa hyökkääjä voi määrittää rivinvaihdon Sijainti: -kentässä
Koska tämä arvo dekoodataan ja lähetetään tietoliikennekanavan kautta pääprosessin kanssa, hyökkääjä voi simuloida eri vastausta kuin HTTP-siirtokäsittelijä ja korvata näennäisen 201 URI-lohkon.
Esimerkiksi, jos hyökkääjä korvaa vastauksen pakettia pyytäessään, tämä korvaaminen johtaa seuraavan tietolohkon siirtämiseen pääprosessiin.
Ladattujen tiedostojen hajautuslaskenta käsitellään ja pääprosessi yksinkertaisesti tarkistaa nämä tiedot hajautetuilla tiedostoilla allekirjoitettujen pakettien tietokannasta.
Metatiedoista hyökkääjä voi määrittää minkä tahansa tietokannassa todellisiin allekirjoitettuihin paketteihin linkitettyjen testaus hashien arvon, mutta se ei todellakaan vastaa siirretyn tiedoston hajautuksia.
Pääprosessi hyväksyy hyökkäyksellä korvatun vastauskoodin, etsii hash-tietokannasta ja katsoo, että paketti, jolle on oikea digitaalinen allekirjoitus, ladataan, vaikka todellisuudessa hash-kentän arvo on korvattu viestintäkanava pääprosessin avulla hyökkäystä ja korvatussa metatiedossa määritetyn tiedoston kanssa.
Haitallisen paketin lataaminen tapahtuu liittämällä paketti Release.gpg-tiedostoon siirron aikana.
Tällä tiedostolla on ennustettavissa oleva sijainti tiedostojärjestelmässä, eikä paketin liittäminen käynnistykseen vaikuta digitaalisen allekirjoituksen purkamiseen arkistosta.
Kun tietoja hankitaan, apt poistaa työntekijöiden prosessit, jotka ovat erikoistuneet tiedonsiirtoon käytettäviin protokolliin.
Pääprosessi kommunikoi sitten näiden työntekijöiden kanssa stdin / stdoutin välityksellä ja kertoo heille, mitä ladata ja mihin laittaa se tiedostojärjestelmään protokollalla, joka näyttää vähän kuin HTTP.
Pääprosessi lähettää sitten kokoonpanonsa ja pyytää resurssia, ja työntekijäprosessi vastaa.
Kun HTTP-palvelin vastaa uudelleenohjauksella, työntekijäprosessi palauttaa arvon 103 uudelleenohjauksen 201 URI-valmiuden sijaan, ja pääprosessi käyttää tätä vastausta selvittääkseen, mitä resurssia seuraavaksi pyydetään.