Je bilo ugotovljeno ranljivost v upravitelju paketov APT (CVE-2019-3462), kaj omogoča napadalcu, da sproži ponarejanje nameščenega paketa ali ima napadalec nadzor nad zrcalom skladišča ali lahko moti tranzitni promet med uporabnikom in skladiščem (napad MITM).
Težavo je ugotovil raziskovalec varnosti Max Justicz, znan po odkrivanju ranljivosti v upravitelju paketov APK (Alpine) in v skladiščih Packagist, NPM in RubyGems.
Problem Vzrok je napačno preverjanje polj v kodi za preusmeritev HTTP.
V čem je problem?
Ta ranljivost omogoča napadalcu, da nadomesti lastno vsebino v podatkih, ki se prenašajo v seji HTTP (Debian in Ubuntu za dostop do skladišča uporabljata HTTP in ne HTTPS, ob predpostavki, da digitalni podpis zadostuje za ujemanje metapodatkov in velikosti paketa.)
Ugotovljena ranljivost omogoča napadalcu moč zamenjajte poslani paket, nato pa ga bo APT zaznal kot prejetega iz uradnega ogledala in začel postopek namestitve.
Z vključitvijo v zlonamerni paket skriptov, zagnanih med namestitvijo, lahko napadalec doseže izvajanje svoje kode v sistemu s korenskimi privilegiji.
Za prenos podatkov iz repozitorija APT začne podrejeni postopek z izvedbo določenega prevoza in organizira interakcijo s tem postopkom s pomočjo preprostega besedilnega protokola z delitvijo ukazov s prazno vrstico.
Kako zaznam težavo?
Bistvo problema je v tem, da je vodnik za prenos HTTPpo prejemu odgovora s strežnika HTTP z glavo "Lokacija:" zahteva potrditev preusmeritve iz glavnega procesa.
Popolnoma prenos vsebine te glave. Zaradi pomanjkanja čistosti poslanih posebnih znakov lahko napadalec v polju "Lokacija:" določi prelom vrstice
Ker bo ta vrednost dekodirana in posredovana prek komunikacijskega kanala z glavnim procesom, lahko napadalec simulira drugačen odziv HTTP-jevega transportnega obdelovalca in nadomesti preskusni blok 201 URI.
Če na primer napadalec na zahtevo za paket nadomesti odgovor, bo ta zamenjava povzročila prenos naslednjega bloka podatkov v glavni postopek.
Računa se zgoščenost prenesenih datotek in glavni postopek preprosto preveri te podatke s zgoščenkami iz baze podpisanih paketov.
Med metapodatki lahko napadalec poda katero koli vrednost preizkusnih zgoščevalnih oznak, povezanih v zbirki podatkov z dejanskimi podpisanimi paketi, vendar dejansko ne ustreza razpršilcem prenesene datoteke.
Glavni postopek bo sprejel odzivno kodo, ki jo bo zamenjal napad, v zbirki podatkov bo poiskal razpršitev in upošteval, da je naložen paket, za katerega obstaja pravi digitalni podpis, čeprav je v resnici vrednost polja s razpršeno vrednostjo komunikacijski kanal z glavnim postopkom, ki uporablja napad, in datoteko, določeno v zamenjanih metapodatkih.
Prenos zlonamernega paketa se izvede tako, da se paket med prenosom pritrdi na datoteko Release.gpg.
Ta datoteka ima predvidljivo mesto v datotečnem sistemu in pritrditev paketa na njen zagon ne vpliva na pridobivanje digitalnega podpisa iz skladišča.
Pri pridobivanju podatkov apt onemogoči delovne procese, ki so specializirani za različne protokole, ki bodo uporabljeni za prenos podatkov.
Glavni proces nato komunicira s temi delavci prek stdin / stdout, da jim pove, kaj naj prenesejo in kam naj ga dodajo v datotečni sistem s pomočjo protokola, ki je nekoliko podoben HTTP.
Glavni postopek bo nato poslal svojo konfiguracijo in zahteval vir, delovni proces pa se bo odzval.
Ko se strežnik HTTP odzove s preusmeritvijo, delovni proces vrne 103 Preusmeritev namesto 201 URI Končano, glavni postopek pa s tem odgovorom ugotovi, kateri vir naj nato zahteva.