פורסמו תוצאות ניסוי להשתלטות על חבילות במאגר המשתמשים של Arch (AUR), מאגר בו משתמשים מפתחי צד שלישי להפצת חבילות מבלי לכלול אותן במאגרי Arch Linux העיקריים. חוקרים פיתחו סקריפט שבודק דומיינים שפג תוקפם המפורטים בקבצי PKGBUILD ו-SRCINFO. באמצעות הפעלת סקריפט זה, הם זיהו 14 דומיינים שפג תוקפם ששימשו ב-20 חבילות להורדת קבצים.
פשוט רישום דומיין זה לא מספיק לזיוף חבילות, מכיוון שהתוכן שהורד מאומת מול סכום הבדיקה שכבר הועלה ל-AUR. עם זאת, התברר כי מתחזקים של כ-35% מהחבילות ב-AUR משתמשים בפרמטר "SKIP" בקובץ PKGBUILD כדי לעקוף אימות סכום בדיקה (לדוגמה, על ידי ציון sha256sums=('SKIP')). מתוך 20 חבילות עם דומיינים שפג תוקפם, הפרמטר SKIP שימש ב-4.
כדי להדגים את היתכנות המתקפה, החוקרים רכשו את הדומיין של חבילה שלא אימתה סכומי בדיקה ואירחה ארכיון המכיל את הקוד וסקריפט התקנה שעבר שינוי. במקום התוכן בפועל, הסקריפט שונה כדי להציג אזהרה לגבי ביצוע קוד של צד שלישי. ניסיון להתקין את החבילה הביא להורדת הקבצים שעברו שינוי, ומכיוון שסכום הבדיקה לא אומת, התקנה וביצוע מוצלחים של הקוד שנוסף על ידי הנסיינים.
חבילות שעבורן דומיינים עם קודים פג תוקפם:
- פיירפוקס-וואקום
- gvim-checkpath
- יין-פיקסי2
- ערכת נושא ל-xcursor עבור Wii
- ללא אזור אור
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- פולי-בי-נעלמה
- ארוויז
- טוטד
- kygekteampmmp4
- servicewall-git
- סל של אמולטמל
- אתר-דמפ
- פח תנומה
- iscfpc
- iscfpc-aarch64
- iscfpcx
מקור: OpenNet.ru
