Помилка в Ubuntu може змусити користувача встановити шкідливі пакети
Дослідники Aqua Security розкрили Нещодавно через публікацію в блозі можливість атаки на користувачів Ubuntu, використовуючи перевагу однієї з найвідоміших функцій, а також незнання або неуважність користувачів.
А для користувачів Linux загалом, одне з найпоширеніших повідомлень що ми зазвичай знаходимо, коли знаходимося в терміналі, є знаменитим "command-not-foun." Це відоме повідомлення повідомляє нам, що те, що ми запитуємо, немає в системі (у більшості випадків) або що ми вводимо щось не так.
Ніхто не дозволить мені збрехати, це траплялося з усіма нами, або тому, що ми віримо і впевнені, що пакет або програма, з якою ми збираємося працювати в терміналі, є в нашій системі, або просто тому, що ми ненавмисно ввели якусь букву неправильно і у цей момент ми отримуємо «command-not-foun». Як ви всі знаєте, коли з’являється це повідомлення, мизазвичай дає рекомендації щодо встановлення зазначеного пакета, який не знайдено. Практичний приклад повідомлення буде приблизно таким:
Command 'Firefox' not found, but can be installed with: sudo apt install "paquete 1 recomendado" sudo snap install "paquete malicioso"
Таким чином, цей драйвер надає підказку під час спроби запустити програму, якої немає в системі.
Повертаючись до суті статті, iДослідники Aqua Security виявили проблему який радикалa у способі оцінки команд для запуску тих, яких немає в системі, оскільки він не лише рекомендує інсталювати пакунки зі стандартних репозиторіїв, але також знімає пакунки з каталогу snapcraft.io, коли пропонує рекомендації.
Крім того, наше дослідження показує, що до 26% команд, пов’язаних із пакетами Advanced Package Tool (APT), є вразливими до підробки зловмисниками. Ця проблема може прокласти шлях до атак на ланцюги поставок, які вплинуть на користувачів Linux і Windows, які використовують WSL. У цьому блозі розповідається про операційні деталі command-not-found, ризики, пов’язані зі встановленням скомпрометованих пакетів знімків, і різні вектори атак, якими можна скористатися.
Коли дається рекомендація на основі вмісту каталогу snapcraft.io драйвер як такий, він не оцінює статус пакетів і охоплює лише пакети, додані до каталогу неперевіреними користувачами. Тому зловмисник може розмістити пакет із прихованим шкідливим вмістом на snapcraft.io, ім’я якого збігається з існуючими пакетами DEB, програмами, яких спочатку не було в сховищі, або фіктивними програмами, назви яких відображають друкарські та типові помилки. назви популярних утиліт.
Наприклад, Зловмисник може скинути такі пакети, як "Firefox-123" з розрахунком, що користувач помилиться при введенні назв утиліт і в цьому випадку «command-not-found» порекомендує встановити шкідливі пакети, розміщені зловмисником із snapcraft.io.
Користувач може не знати про проблему і думаю, що система рекомендує лише перевірені пакети. Крім того, Зловмисник може скинути пакет на snapcraft.io, назва якого збігається з існуючими пакетами DEB або з якоюсь привабливістю в назві. У цьому сценарії «command-not-found» дасть дві рекомендації щодо встановлення DEB і snap, і користувач може вибрати snap, вважаючи його безпечнішим або спокусившись новою версією.
Програми Snap, дозволені snapcraft.io для автоматичного перегляду, можуть працювати лише в ізольованому середовищі. Однак зловмисник може скористатися цією пісочницею, наприклад, для майнінгу криптовалюти, проведення DDoS-атак або розсилання спаму.
Крім того, Зловмисник може використовувати методи обходу ізоляції на шкідливих пакетах. Це включає використання невиправлених уразливостей у ядрі та механізмах ізоляції, використання інтерфейсів швидкого доступу для доступу до зовнішніх ресурсів (таких як приховані аудіо- та відеозаписи) або захоплення введення з клавіатури під час використання протоколу X11 (для створення кейлоггерів, які працюють у середовищі пісочниці).
Дослідники Aqua Security рекомендують, щоб захиститися від таких загроз, прийняти кілька профілактичних заходів:
- Користувачі повинні перевірити походження пакета перед встановленням, перевіривши надійність супроводжувачів і рекомендовану платформу (або snap, або APT).
- Розробники Snap із псевдонімом повинні негайно зареєструвати відповідне ім’я, якщо воно відповідає їхній програмі, щоб запобігти неправильному використанню.
- Розробникам пакетів APT рекомендується зареєструвати назву знімка, пов’язану з їхніми командами, запобіжно захищаючи їх від можливої підробки зловмисниками.
Нарешті, якщо ви зацікавлені в тому, щоб дізнатися більше про це, ви можете ознайомитися з деталями в наступне посилання.