Az Aqua Security kutatói felfedték Nemrég egy blogbejegyzésen keresztül a az Ubuntu felhasználókat célzó támadás lehetősége, kihasználva az egyik legismertebb funkciót, valamint a felhasználók tudatlanságát vagy figyelmetlenségét.
És általában a Linux felhasználók számára az egyik leggyakoribb üzenet amit általában a terminálban találunk, az a híres „parancs-nem-található”. Ez a híres üzenet azt mondja nekünk, hogy amit kérünk, az nincs a rendszerben (a legtöbb esetben), vagy hogy valamit rosszul írunk be.
Senki sem hagyja, hogy hazudjak, ez mindannyiunkkal megtörtént, vagy azért, mert hisszük és biztosak vagyunk abban, hogy a csomag vagy alkalmazás, amellyel a terminálban dolgozni fogunk, a rendszerünkben van, vagy egyszerűen azért, mert véletlenül rossz betűt írtunk be. abban a pillanatban megkapjuk a „nem-található parancsot”. Mint mindannyian tudják, amikor ez az üzenet megjelenik, mi vagyunkáltalában a telepítési javaslatot teszi az említett csomagból, amely nem található. Az üzenet gyakorlati példája a következő:
Command 'Firefox' not found, but can be installed with: sudo apt install "paquete 1 recomendado" sudo snap install "paquete malicioso"
Mint ilyen, ez az illesztőprogram tippet ad, amikor olyan programot próbál meg elindítani, amely nem található a rendszeren.
Visszatérve a cikk lényegére, az iAz Aqua Security kutatói hibát észleltek micsoda radikálisa parancsok kiértékelésének módjában futtatni azokat, amelyek nincsenek jelen a rendszeren, mivel nem csak a szabványos tárolókból javasolja a csomagok telepítését, hanem a snap-csomagok telepítését is a snapcraft.io könyvtárból, amikor javaslatokat tesz.
Ezenkívül kutatásunk azt mutatja, hogy az Advanced Package Tool (APT) csomagjaihoz társított parancsok akár 26%-a sebezhető a rosszindulatú szereplők általi hamisítással szemben. Ez a probléma megnyithatja az utat a WSL-t futtató Linux és Windows felhasználókat érintő ellátási lánc támadások előtt. Ez a blog a parancs nem található működési részleteivel, a feltört snap csomagok telepítésével kapcsolatos kockázatokkal és a különféle kihasználható támadási vektorokkal foglalkozik.
Amikor ajánlás születik a snapcraft.io könyvtár tartalma alapján az illesztőprogram mint ilyen, nem értékeli a csomag állapotát, és csak a könyvtárhoz hozzáadott csomagokat fedi le ellenőrizetlen felhasználók által. Ezért a támadó rejtett rosszindulatú tartalommal rendelkező csomagot helyezhet el a snapcraft.io webhelyen, olyan névvel, amely átfedésben van a meglévő DEB-csomagokkal, olyan programokkal, amelyek eredetileg nem voltak a tárolóban, vagy olyan fiktív alkalmazásokkal, amelyek neve elírási hibákat és tipikus hibákat tükröz. a népszerű közművek nevei.
Pl. A támadó olyan csomagokat dobhat el, mint a „Firefox-123” azzal a feltétellel, hogy a felhasználó hibákat követ el a segédprogramok nevének begépelésekor, és ebben az esetben a "command-not-found" a támadó által a snapcraft.io webhelyről elhelyezett rosszindulatú csomagok telepítését javasolja.
Előfordulhat, hogy a felhasználó nem tud a problémáról és úgy gondolja, hogy a rendszer csak tesztelt csomagokat ajánl. Kívül, A támadó eldobhat egy olyan csomagot a snapcraft.io oldalon, amelynek neve átfedésben van a meglévő DEB-csomagokkal vagy némi vonzalommal a nevében. Ebben a forgatókönyvben a „command-not-found” két javaslatot ad a DEB és a snap telepítésére, és a felhasználó választhatja a snap opciót, ha biztonságosabbnak tartja, vagy az új verziótól csábítja.
A snapcraft.io által az automatikus ellenőrzésre engedélyezett Snap-alkalmazások csak elszigetelt környezetben futhatnak. A támadók azonban kihasználhatják ezt a homokozót, például kriptovalutát bányászhatnak, DDoS-támadásokat hajthatnak végre vagy spameket küldhetnek.
Ezen túlmenően, A támadó izolációs bypass technikákat alkalmazhat a rosszindulatú csomagokon. Ez magában foglalja a kernel és az elkülönítési mechanizmusok kijavítatlan sebezhetőségeinek kihasználását, a külső erőforrások (például rejtett hang- és videofelvételek) elérésére szolgáló snap interfészek használatát, vagy a billentyűzet bemeneteinek rögzítését az X11 protokoll használatakor (sandbox környezetben működő keyloggerek létrehozására).
Az Aqua Security kutatói az ilyen fenyegetések elleni védelem érdekében számos megelőző intézkedést javasolnak:
- A felhasználóknak a telepítés előtt ellenőrizniük kell a csomag eredetét, ellenőrizniük kell a karbantartók és az ajánlott platform (akár snap, akár APT) hitelességét.
- Az álnévvel rendelkező Snap-fejlesztőknek azonnal regisztrálniuk kell a megfelelő nevet, ha az illeszkedik az alkalmazásukhoz a visszaélések elkerülése érdekében.
- Az APT-csomagok fejlesztőit arra biztatjuk, hogy regisztrálják a parancsaikhoz társított snap-nevet, megelőzve ezzel őket a támadók esetleges hamisításával szemben.
Végül, ha többet szeretne megtudni róla, tájékozódhat a részletekről a következő link.