Los investigadores de Aqua Security llamaron la atención sobre la posibilidad de un ataque a los usuarios de la distribución Ubuntu, utilizando las funciones de implementación del controlador "comando no encontrado", que proporciona una pista si se intenta ejecutar un programa que está no en el sistema. El problema es que al evaluar comandos para ejecutar que no están presentes en el sistema, "comando no encontrado" utiliza no solo paquetes de los repositorios estándar, sino también paquetes instantáneos del directorio snapcraft.io al elegir recomendaciones.
Al generar una recomendación basada en el contenido del directorio snapcraft.io, el controlador de "comando no encontrado" no tiene en cuenta el estado del paquete y solo cubre los paquetes agregados al directorio por usuarios que no son de confianza. Por lo tanto, un atacante puede colocar en snapcraft.io un paquete con contenido malicioso oculto y un nombre que se superponga con paquetes DEB existentes, programas que no estaban originalmente en el repositorio o aplicaciones ficticias cuyos nombres reflejan errores tipográficos y errores típicos del usuario al escribir los nombres. de servicios públicos populares.
Por ejemplo, puede colocar los paquetes "tracert" y "tcpdamp" con la expectativa de que el usuario cometa un error al escribir los nombres de las utilidades "traceroute" y "tcpdump", y "command-not-found" recomendará instalar paquetes maliciosos colocados por el atacante desde snapcraft.io. Es posible que el usuario no se dé cuenta del problema y piense que el sistema solo recomienda paquetes probados. Un atacante también puede colocar un paquete en snapcraft.io cuyo nombre se superponga con los paquetes deb existentes, en cuyo caso "comando no encontrado" dará dos recomendaciones para instalar deb y snap, y el usuario puede elegir snap, considerándolo más seguro. o tentado por la nueva versión.
Las aplicaciones instantáneas que snapcraft.io permite para la revisión automática solo pueden ejecutarse en un entorno aislado (las instantáneas no aisladas se publican solo después de la revisión manual). Puede ser suficiente que un atacante ejecute en un entorno aislado con acceso a la red, por ejemplo, para extraer criptomonedas, realizar ataques DDoS o enviar spam.
Un atacante también puede utilizar técnicas de derivación de aislamiento en paquetes maliciosos, como explotar vulnerabilidades no parcheadas en el kernel y mecanismos de aislamiento, utilizar interfaces instantáneas para acceder a recursos externos (para grabaciones de audio y vídeo ocultas) o capturar entradas de teclado cuando se utiliza el protocolo X11 ( para crear keyloggers que funcionen en un entorno sandbox).
Fuente: opennet.ru