Ερευνητές από το Aqua Security επέστησαν την προσοχή στην πιθανότητα επίθεσης στους χρήστες του κιτ διανομής Ubuntu, χρησιμοποιώντας τις δυνατότητες υλοποίησης του χειριστή "command-not-found", ο οποίος παρέχει μια υπόδειξη εάν γίνει προσπάθεια εκκίνησης ενός προγράμματος που όχι στο σύστημα. Το πρόβλημα είναι ότι κατά την αξιολόγηση εντολών προς εκτέλεση που δεν υπάρχουν στο σύστημα, το "command-not-found" χρησιμοποιεί όχι μόνο πακέτα από τα τυπικά αποθετήρια, αλλά πακέτα snap από τον κατάλογο snapcraft.io κατά την επιλογή προτάσεων.
Κατά τη δημιουργία μιας σύστασης με βάση τα περιεχόμενα του καταλόγου snapcraft.io, ο χειριστής "command-not-found" δεν λαμβάνει υπόψη την κατάσταση του πακέτου και καλύπτει μόνο πακέτα που προστέθηκαν στον κατάλογο από μη αξιόπιστους χρήστες. Έτσι, ένας εισβολέας μπορεί να τοποθετήσει στο snapcraft.io ένα πακέτο με κρυφό κακόβουλο περιεχόμενο και ένα όνομα που επικαλύπτει υπάρχοντα πακέτα DEB, προγράμματα που δεν υπήρχαν αρχικά στο αποθετήριο ή εικονικές εφαρμογές των οποίων τα ονόματα αντικατοπτρίζουν τυπικά τυπογραφικά λάθη και σφάλματα χρήστη κατά την πληκτρολόγηση των ονομάτων δημοφιλών υπηρεσιών κοινής ωφέλειας.
Για παράδειγμα, μπορείτε να τοποθετήσετε τα πακέτα "tracert" και "tcpdamp" με την προσδοκία ότι ο χρήστης θα κάνει λάθος κατά την πληκτρολόγηση των ονομάτων των βοηθητικών προγραμμάτων "traceroute" και "tcpdump" και το "command-not-found" θα προτείνει εγκατάσταση κακόβουλων πακέτων που τοποθετήθηκαν από τον εισβολέα από το snapcraft.io. Ο χρήστης μπορεί να μην παρατηρήσει τη σύλληψη και να σκεφτεί ότι το σύστημα προτείνει μόνο αποδεδειγμένα πακέτα. Ένας εισβολέας μπορεί επίσης να τοποθετήσει ένα πακέτο στο snapcraft.io του οποίου το όνομα συμπίπτει με τα υπάρχοντα πακέτα deb, οπότε το "command-not-found" θα δώσει δύο συστάσεις για την εγκατάσταση του deb και του snap και ο χρήστης μπορεί να επιλέξει το snap, θεωρώντας το πιο ασφαλές ή δελεάζονται από τη νεότερη έκδοση.
Οι εφαρμογές Snap που το snapcraft.io επιτρέπει τον αυτόματο έλεγχο μπορούν να εκτελούνται μόνο σε απομονωμένο περιβάλλον (τα μη απομονωμένα στιγμιότυπα δημοσιεύονται μόνο μετά από μη αυτόματο έλεγχο). Μπορεί να είναι αρκετό για έναν εισβολέα να εκτελέσει σε ένα απομονωμένο περιβάλλον με πρόσβαση στο δίκτυο, για παράδειγμα, για εξόρυξη κρυπτονομισμάτων, διεξαγωγή επιθέσεων DDoS ή αποστολή ανεπιθύμητων μηνυμάτων.
Ένας εισβολέας μπορεί επίσης να χρησιμοποιήσει τεχνικές παράκαμψης απομόνωσης σε κακόβουλα πακέτα, όπως η εκμετάλλευση μη επιδιορθωμένων τρωτών σημείων στον πυρήνα και οι μηχανισμοί απομόνωσης, η χρήση διασυνδέσεων snap για πρόσβαση σε εξωτερικούς πόρους (για κρυφή εγγραφή ήχου και βίντεο) ή λήψη εισόδου πληκτρολογίου κατά τη χρήση του πρωτοκόλλου X11 ( για τη δημιουργία keylogger που λειτουργούν σε περιβάλλον sandbox).
Πηγή: opennet.ru