Az Aqua Security kutatói felhívták a figyelmet az Ubuntu disztribúciós készlet felhasználóit érő támadás lehetőségére a „command-not-found” kezelő implementációs funkciói segítségével, amely utalást ad arra az esetre, ha olyan programot próbálnak elindítani, amely nincs benne a rendszerben. A probléma az, hogy a rendszerben nem szereplő parancsok kiértékelésekor a „command-not-found” nem csak a szabványos tárolók csomagjait használja, hanem a snapcraft.io könyvtárból származó snap csomagokat is az ajánlások kiválasztásakor.
Amikor a snapcraft.io könyvtár tartalma alapján ajánlást generál, a "command-not-found" kezelő nem veszi figyelembe a csomag állapotát, és csak a nem megbízható felhasználók által a címtárhoz hozzáadott csomagokat fedi le. Így a támadó elhelyezhet a snapcraft.io-ban egy olyan csomagot rejtett rosszindulatú tartalommal és névvel, amely átfedésben van a meglévő DEB-csomagokkal, olyan programokkal, amelyek eredetileg nem voltak a tárolóban, vagy olyan fiktív alkalmazásokat, amelyek nevei tipikus elírási hibákat és felhasználói hibákat tükröznek a nevek beírása során. népszerű közművek.
Például elhelyezheti a „tracert” és „tcpdamp” csomagokat azzal a feltétellel, hogy a felhasználó hibát követ el a „traceroute” és „tcpdump” segédprogramok nevének begépelésekor, és a „command-not-found” ezt javasolja. a támadó által a snapcraft.io webhelyről elhelyezett rosszindulatú csomagok telepítése. Előfordulhat, hogy a felhasználó nem veszi észre a fogást, és azt gondolja, hogy a rendszer csak bevált csomagokat ajánl. A támadó olyan csomagot is elhelyezhet a snapcraft.io-ban, amelynek neve átfedésben van a meglévő deb csomagokkal, ebben az esetben a „command-not-found” két javaslatot ad a deb és a snap telepítéséhez, a felhasználó pedig választhatja a snap-et, így biztonságosabbnak tartja. vagy megkísérti az újabb verzió.
Azok a Snap-alkalmazások, amelyeknél a snapcraft.io lehetővé teszi az automatikus ellenőrzést, csak elszigetelt környezetben futhatnak (a nem elkülönített snap-ok csak kézi ellenőrzés után kerülnek közzétételre). Elegendő lehet, ha a támadó izolált környezetben hajt végre hozzáférést a hálózathoz, például kriptovalutát bányászhat, DDoS-támadásokat hajthat végre vagy kéretlen leveleket küldene.
A támadó rosszindulatú csomagokban is használhat izolációs bypass technikákat, például kihasználhatja a kernel és az elkülönítési mechanizmusok kijavítatlan sebezhetőségeit, snap interfészek segítségével hozzáférhet külső erőforrásokhoz (rejtett hang- és képrögzítéshez), vagy rögzítheti a billentyűzet bevitelét az X11 protokoll használatakor ( sandbox környezetben működő keyloggerek létrehozásához).
Forrás: opennet.ru