ولفت باحثون من شركة Aqua Security إلى احتمالية تعرض مستخدمي مجموعة توزيع Ubuntu لهجوم باستخدام ميزات التنفيذ الخاصة بمعالج "command-not-found" الذي يقدم تلميحًا في حالة إجراء محاولة لإطلاق برنامج ما. ليس في النظام. تكمن المشكلة في أنه عند تقييم أوامر التشغيل غير الموجودة في النظام، لا يستخدم الأمر "command-not-found" الحزم من المستودعات القياسية فحسب، بل يستخدم الحزم المفاجئة من دليل snapcraft.io عند اختيار التوصيات.
عند إنشاء توصية بناءً على محتويات دليل snapcraft.io، لا يأخذ معالج "الأمر غير الموجود" في الاعتبار حالة الحزمة ويغطي فقط الحزم المضافة إلى الدليل بواسطة مستخدمين غير موثوق بهم. وبالتالي، يمكن للمهاجم أن يضع في snapcraft.io حزمة تحتوي على محتوى ضار مخفي واسم يتداخل مع حزم DEB الموجودة، أو البرامج التي لم تكن موجودة في المستودع في الأصل، أو التطبيقات الوهمية التي تعكس أسماؤها الأخطاء المطبعية النموذجية وأخطاء المستخدم عند كتابة الأسماء من المرافق الشعبية.
على سبيل المثال، يمكنك وضع الحزمتين "tracert" و"tcpdamp" مع توقع أن يرتكب المستخدم خطأً عند كتابة أسماء الأدوات المساعدة "traceroute" و"tcpdump"، وسيوصي "command-not-found" تثبيت الحزم الضارة التي وضعها المهاجم من snapcraft.io. قد لا يلاحظ المستخدم المشكلة ويعتقد أن النظام يوصي فقط بالحزم التي أثبتت جدواها. يمكن للمهاجم أيضًا وضع حزمة في snapcraft.io يتداخل اسمها مع حزم deb الموجودة، وفي هذه الحالة سيقدم "command-not-found" توصيتين لتثبيت deb وsnap، ويمكن للمستخدم اختيار snap، معتبرا أنه أكثر أمانًا. أو يغريها الإصدار الأحدث.
لا يمكن تشغيل تطبيقات Snap التي يسمح بها snapcraft.io بالمراجعة التلقائية إلا في بيئة معزولة (يتم نشر اللقطات غير المعزولة فقط بعد المراجعة اليدوية). قد يكون كافيًا أن يقوم المهاجم بالتنفيذ في بيئة معزولة مع إمكانية الوصول إلى الشبكة، على سبيل المثال، لاستخراج العملات المشفرة، أو تنفيذ هجمات DDoS، أو إرسال رسائل غير مرغوب فيها.
يمكن للمهاجم أيضًا استخدام تقنيات تجاوز العزل في الحزم الضارة، مثل استغلال الثغرات الأمنية غير المصححة في النواة وآليات العزل، أو استخدام واجهات مبكرة للوصول إلى الموارد الخارجية (لتسجيل الصوت والفيديو المخفي)، أو التقاط مدخلات لوحة المفاتيح عند استخدام بروتوكول X11 ( لإنشاء برامج تسجيل المفاتيح التي تعمل في بيئة وضع الحماية).
المصدر: opennet.ru