Ubuntu'nun 'komut bulunmayan' paket önerisi sistemi ile SNAP paket deposu arasındaki mantık kusuru, saldırganların şüpheli olmayan kullanıcılara kötü niyetli Linux paketlerini tanıtmasını sağlayabilir.
Sorun, hizmetin, paketlerin otantik ve güvenli olmasını sağlamak için bir doğrulama mekanizması olmadan eksik olduklarında kurulum için SNAP paketleri önerme yeteneğinden kaynaklanmaktadır.
Dışı boşluk, gelişmiş paket aracı (APT) paket komutlarının yaklaşık% 26'sının kötü niyetli SNAP paketleri tarafından taklit etme riski olduğunu ve Linux (WSL) için Linux ve Windows alt sistemi için önemli bir tedarik zinciri riski sunduğunu tespit eden Aqua Nautilus araştırmacıları tarafından keşfedildi. kullanıcılar.
Aqua Nautilus'un raporu Ubuntu'ya odaklanırken, sorunun sadece popüler Linux dağıtımının ötesine uzanan daha geniş etkileri olduğuna dikkat edilmelidir.
Örneğin, Varsayılan olarak 'Komut Teslim Değil' yardımcı programını kullanan Ubuntu çatalları veya Linux dağıtımları da SNAP paket sistemi ile birlikte savunmasızdır.
'Komut bulunmayan' yardımcı programı, şu anda yüklenmemiş belirli bir programı çalıştırmanıza izin vermek için paketlerin yüklenmesini öneren bir Python komut dosyasıdır.
Örneğin, Mojo'yu çalıştırmak istiyorsanız, ancak program yüklenmemişse, komut bulunmayan komut dosyası, komutu kullanabilmeniz için paketlerin yüklenmesini önerir.
Bununla birlikte, güvenliği, kamu hizmetinin önerdiği paketlerin kurulumu güvenli olduğundan emin olmak için tedarik zincirinin düşük seviyelerinde durum tespitinin yapıldığını varsayar.
Yardımcı programın öneri mekanizması, APT paketleri için dahili bir veritabanına ve SNAP paketleri için SNAP deposundan düzenli olarak güncellenmiş bir veritabanına dayanarak komutların paketlerle ilişkili olmasına izin verir.
Aqua Nautilus'un açıkladığı gibi, APT paketlerine kıyasla sıkı inceleme süreçlerinin eksikliği göz önüne alındığında, saldırganların SNAP mağazasına kötü niyetli çıtçıtlar yayınlamaları nispeten kolaydır.
SNAP paketleri "katı" veya "klasik" olarak yayınlanabilir, birincisi yazılımı sanal alan bir ortamla sınırlandırır ve ikincisi, tıpkı APT paketleri gibi sınırsız erişim sağlayabilir.
Saldırganlar kötü uygulamalarını "klasikler" olarak yayınlama riskiyle karşı karşıya kalabilirler. Bununla birlikte, bunlar onaylanmadan önce manuel incelemeyi gerektirir ve kötü niyetli işlevsellik uygun şekilde gizlenirse bu incelemeleri geçme şansı yüksektir.
Araştırmacılar, "katı" çıtçıtların bile son derece riskli olduğunu, çünkü dış kaynaklarla veya ana bilgisayar sisteminin ekran sunucusu ile kapsamlı etkileşim için "arayüzler" kullanma seçeneğini kötüye kullanabileceğini, özellikle X11 kullanıldığında, potansiyel olarak diğer uygulamaları dinlemeye ve anahtarloglamayı gerçekleştirmesine izin verdiğini söylüyorlar. .
Buna ek olarak, Aqua'nın analistleri, yeni keşfedilen kusurları hedefleyen tehlikeye atılan bir sistemde "taze" istismarlar sunmak için SNAP paketlerinin otomatik güncelleme özelliğini kötüye kullanma riskini vurgulamaktadır.
Bu riskin ilgili bir örneği Linux çekirdek kusurları ile ilgilidir. SNAP paketleri, sistemde çalışan tüm yazılımlarla aynı sistem çekirdeğini paylaştığından, sanal alandan kaçmak için potansiyel olarak bir kusurdan yararlanabilirler.
Yukarıdakiler, saldırganlar paketlerini 'komuta bulunmayan' yardımcı programı aracılığıyla tanıtmanın bir yolunu bulduğu sürece riskli bir durum için zemin hazırlar, ancak analistlerin açıkladığı gibi, bunun için de rahat bir marj vardır.
İlk ve en basit hile, yazım hataları (örneğin, 'ifconfigg' yerine 'ifconfigg') içeren komutları kötü amaçlı SNAP paketleriyle ilişkilendirmektir ve 'komut bulunmayan' yardımcı programı kullanıcıya kurulumunu önermek için önderlik etmektir, o noktada yazım hatalarını gerçekleştirme olasılığı düşük.
İkinci yöntem, kullanıcıların var olmasını bekleyebilecekleri, genellikle bilinen komutlara veya takma adlara karşılık geldikleri için sahipsiz SNAP adlarını tanımlamayı ve kaydetmeyi içerir.
Araştırmacılar, "Bir geliştirici, SNAP'larının. Biçimden sapan bir komutu yürütmesini ve basitçe değil, bir takma ad talep etmeleri gerekirse," diye açıklıyor.
"Böyle bir istek, uygulama ile uyumlu olmasını sağlamak için istenen takma adın oylandığı manuel bir inceleme süreci başlatır."
Bununla birlikte, geliştiriciler bu takma adın altında gerçek bir çırpıda kaydetmezse, bir tehdit oyuncusu kendi paketlerini bu isim altında yükleyebilir, bu da komuta bulunmayan araç tarafından önerilecektir.
Bu yaklaşım, çıtçıtların adlandırma ve takma işlem sistemindeki bir boşluktan yararlanır, bu da, takma ad isteklerine ihtiyaç duymadan meşru yazılımın kimliğine bürünmesine izin verir, korunmamış ancak öngörülebilir isimlerden yararlanır.
Üçüncü saldırı yöntemi, 'komut bulunmayan' yardımcı programının her ikisini de önermesi için meşru APT paketleri için kötü niyetli SNAP paketlerinin kaydedilmesini içerir.
Aqua Nautilus, birçok meşru yazılım yayıncısı, projeleri için ilgili SNAP paket takma adını talep etmedikçe, saldırganlara sömürü marjına izin vermediği için komutların% 26'sının bu şekilde kullanılabileceğini söylüyor.
Güvenlik analistleri, yukarıdaki sorunların sömürülme hacminin şu anda bilinmediğini, ancak en az iki vakanın ortaya çıktığını söylüyor (1, 2).
Riskleri azaltmak için atılabilecek bazı adımlar arasında kullanıcılar, yüklemek üzere oldukları paketlerin özgünlüğünü doğrulayan, uygulamalarına benzer adları kaydettiren bir takma ad tutan snap geliştiricileri ve bunların komutlar.
Yeni Linux Glibc kusuru, saldırganların büyük dağıtımlarda kök salmasına izin veriyor
Büyük Dağıtımlarda Kök Veren Linux Kususu için Serbest Yardım
Yeni 'Looney Tunables' Linux hatası büyük dağıtımlarda kök veriyor
Yeni 'Gold Pickaxe' Android, iOS kötü amaçlı yazılım sahtekarlık için yüzünüzü çalıyor
Bilgisayar korsanları Darkme kötü amaçlı yazılımları bırakmak için yeni Windows Defender Zero Day kullandı
Kaynak: Bleeping Computer