Identificiran je ranjivost u APT upravitelju paketa (CVE-2019-3462), što omogućuje napadaču da pokrene lažnu instalaciju paketa ima li napadač kontrolu nad zrcalom spremišta ili može poremetiti tranzitni promet između korisnika i spremišta (MITM napad).
Problem je prepoznao sigurnosni istraživač Max Justicz, poznat po otkrivanju ranjivosti u APK upravitelju paketa (Alpine) i u spremištima Packagist, NPM i RubyGems.
problem To je zbog pogrešne provjere polja u HTTP kodu za preusmjeravanje.
U čemu je problem?
Ova ranjivost omogućuje napadaču zamjenu vlastitog sadržaja u podacima koji se prenose unutar HTTP sesije (Debian i Ubuntu za pristup spremištu koriste HTTP, a ne HTTPS, pod pretpostavkom da je digitalni potpis dovoljan za podudaranje metapodataka i veličine paketa.)
Utvrđena ranjivost omogućuje napajanje napadača zamijenite poslani paket, nakon čega će ga APT shvatiti kao primljen iz službenog zrcala i započeti postupak instalacije.
Uključivanjem u zlonamjerni paket skripti pokrenutih tijekom instalacije, napadač može postići izvršenje svog koda na sustavu s root privilegijama.
Da bi preuzeo podatke iz spremišta, APT započinje podređeni proces s implementacijom određenog prijevoza i organizira interakciju s tim postupkom pomoću jednostavnog tekstualnog protokola s podjelom naredbi praznim retkom.
Kako mogu otkriti problem?
Suština problema je u tome što je HTTP rukovatelj transportom, nakon što primi odgovor od HTTP poslužitelja sa zaglavljem "Lokacija:", traži potvrdu preusmjeravanja iz glavnog procesa.
Kompletni prijenos sadržaja ovog zaglavlja. Zbog nedostatka čistoće prenesenih posebnih znakova, napadač može odrediti prijelom retka u polju "Lokacija:".
Budući da će se ova vrijednost dekodirati i prenijeti putem komunikacijskog kanala s glavnim procesom, napadač može simulirati drugačiji odgovor od HTTP-obrađivača prijenosa i zamijeniti lažni 201 URI blok.
Na primjer, ako napadač, kada zatraži paket, zamijeni odgovor, ta će zamjena rezultirati prijenosom sljedećeg bloka podataka u glavni proces.
Obrađuje se raspršivanje za preuzete datoteke i glavni postupak jednostavno provjerava te podatke pomoću raspršivača iz baze potpisanih paketa.
Među metapodacima napadač može odrediti bilo koju vrijednost testnih hashova povezanih u bazi podataka sa stvarnim potpisanim paketima, ali zapravo ne odgovara hešovima prenesene datoteke.
Glavni proces će prihvatiti kod odgovora zamijenjen napadom, potražiti hash u bazi podataka i uzeti u obzir da je paket za koji postoji ispravan digitalni potpis učitan, iako je u stvarnosti vrijednost polja s hashom zamijenjena u komunikacijski kanal s glavnim procesom koji koristi napad i datoteku navedenu u zamijenjenim metapodacima.
Preuzimanje zlonamjernog paketa vrši se pričvršćivanjem paketa u datoteku Release.gpg tijekom prijenosa.
Ova se datoteka nalazi na predvidivom mjestu u datotečnom sustavu i dodavanje paketa pri pokretanju ne utječe na izdvajanje digitalnog potpisa iz spremišta.
Prilikom dobivanja podataka, apt onemogućava radničke procese koji su se specijalizirali za razne protokole koji će se koristiti za prijenos podataka.
Glavni proces zatim komunicira s tim radnicima putem stdin / stdout kako bi im rekao što treba preuzeti i gdje ga staviti na datotečni sustav koristeći protokol koji pomalo liči na HTTP.
Glavni proces tada će poslati svoju konfiguraciju i zatražiti resurs, a radnički će proces odgovoriti.
Kada HTTP poslužitelj odgovori preusmjeravanjem, radnički proces vraća 103 Preusmjeravanje umjesto 201 URI-a Gotovo, a glavni proces koristi taj odgovor da shvati koji će resurs sljedeći zatražiti.