Har blitt identifisert et sårbarhet i APT-pakkebehandleren (CVE-2019-3462), det lar en angriper starte en spoof av den installerte pakken om angriperen har kontroll over arkivspeilet eller kan forstyrre transittrafikk mellom brukeren og depotet (MITM-angrep).
Problemet ble identifisert av sikkerhetsforsker Max Justicz, kjent for å oppdage sårbarheter i APK-pakkesjefen (Alpine) og i Packagist-, NPM- og RubyGems-repositoriene.
Problemet Det skyldes feil bekreftelse av feltene i HTTP-omdirigeringskoden.
Hva er problemet?
Denne sårbarheten tillater en angriper å erstatte sitt eget innhold i dataene som overføres i HTTP-økten (Debian og Ubuntu bruker HTTP og ikke HTTPS for å få tilgang til depotet, forutsatt at den digitale signaturen er tilstrekkelig med samsvarende metadata og pakkestørrelse.)
Den identifiserte sårbarheten tillater angriperens makt erstatt den sendte pakken, hvoretter APT oppfatter den som mottatt fra det offisielle speilet og starter installasjonsprosessen.
Gjennom inkluderingen i den ondsinnede pakken med skript som ble lansert under installasjonen, kan en angriper oppnå kjøringen av koden sin på et system med rotprivilegier.
For å laste ned data fra depotet, starter APT en underordnet prosess med implementering av en spesifikk transport og organiserer samspillet med denne prosessen ved hjelp av en enkel tekstprotokoll med kommandeling av en tom linje.
Hvordan oppdager jeg problemet?
Essensen av problemet er at HTTP-transportbehandleren, etter å ha mottatt et svar fra HTTP-serveren med overskriften "Location:", ber den om bekreftelse av omdirigering fra hovedprosessen.
Overføring av innholdet i denne overskriften fullstendig. På grunn av mangel på renslighet av de overførte spesialtegnene, kan en angriper spesifisere et linjeskift i "Location:" -feltet
Siden denne verdien vil bli dekodet og overført gjennom kommunikasjonskanalen med hovedprosessen, kan angriperen simulere en annen respons fra HTTP-transportbehandleren og erstatte dummy 201 URI-blokken.
Hvis angriperen for eksempel erstatter svaret når du ber om en pakke, vil denne erstatningen resultere i overføring av neste datablokk til hovedprosessen.
Beregningen av hashes for de nedlastede filene håndteres, og hovedprosessen sjekker bare disse dataene med hashes fra databasen over signerte pakker.
Blant metadataene kan en angriper spesifisere hvilken som helst verdi av testhasher som er koblet i databasen til faktisk signerte pakker, men det tilsvarer faktisk ikke hashene til den overførte filen.
Hovedprosessen vil akseptere responskoden erstattet av angrepet, se etter hashen i databasen og tenk at pakken som det er riktig digital signatur for er lastet inn, selv om verdien av feltet med hashen er erstattet i kommunikasjonskanalen med hovedprosessen ved bruk av angrepet og filen som er spesifisert i de erstattede metadataene.
Nedlasting av en ondsinnet pakke gjøres ved å feste pakken til Release.gpg-filen under overføringen.
Denne filen har en forutsigbar plassering på filsystemet, og å feste en pakke til oppstarten, påvirker ikke utvinningen av den digitale signaturen fra depotet.
Når du innhenter data, deaktiverer apt arbeidsprosesser som spesialiserer seg i de forskjellige protokollene som skal brukes til dataoverføring.
Hovedprosessen kommuniserer deretter med disse arbeidstakerne via stdin / stdout for å fortelle dem hva de skal laste ned og hvor de skal plasseres på filsystemet ved hjelp av en protokoll som ser litt ut som HTTP.
Hovedprosessen sender deretter konfigurasjonen og ber om en ressurs, og arbeidsprosessen vil svare.
Når HTTP-serveren svarer med en viderekobling, returnerer arbeidsprosessen en 103 Viderekobling i stedet for en 201 URI Ferdig, og hovedprosessen bruker dette svaret for å finne ut hvilken ressurs du skal be om neste.