חוקרים מחברת Aqua Security הפנו את תשומת הלב לאפשרות של מתקפה על משתמשי ההפצה. Ubuntu, תוך ניצול המימוש של המטפל "command-not-found", המספק הנחיה בעת ניסיון להפעיל תוכנית שאינה קיימת במערכת. הבעיה היא שכאשר מעריכים פקודות להפעלה שאינן קיימות במערכת, "command-not-found" משתמש לא רק בחבילות מהמאגרים הסטנדרטיים, אלא גם בחבילות snap מספריית snapcraft.io בעת בחירת המלצה.
בעת יצירת המלצה המבוססת על התוכן של ספריית snapcraft.io, המטפל "פקודה לא נמצא" אינו לוקח בחשבון את סטטוס החבילה ומכסה רק חבילות שנוספו לספרייה על ידי משתמשים לא מאומתים. כך, תוקף יכול למקם ב-snapcraft.io חבילה עם תוכן זדוני נסתר ושם חופף לחבילות DEB קיימות, תוכניות שלא היו במקור במאגר, או יישומים פיקטיביים ששמותיהם משקפים שגיאות הקלדה אופייניות של משתמש בעת הקלדת השמות של כלי עזר פופולריים.
לדוגמה, אתה יכול למקם את החבילות "tracert" ו-"tcpdamp" מתוך ציפייה שהמשתמש יעשה טעות בעת הקלדת שמות כלי השירות "traceroute" ו-"tcpdump", ו-"command-not-found" ימליץ התקנת חבילות זדוניות שהציב התוקף מ-snapcraft.io. ייתכן שהמשתמש לא יבחין בקאץ' ויחשוב שהמערכת ממליצה רק על חבילות מוכחות. תוקף יכול גם למקם חבילה ב-snapcraft.io ששמה חופף לחבילות deb הקיימות, ובמקרה זה "command-not-found" ייתן שתי המלצות להתקנת deb and snap, והמשתמש יכול לבחור ב-snap, בהתחשב בכך שהוא בטוח יותר או מתפתה לגרסה החדשה יותר.
אפליקציות Snap ש-Snapcraft.io מאפשרות סקירה אוטומטית יכולות לפעול רק בסביבה מבודדת (Snap לא מבודדים מתפרסמים רק לאחר סקירה ידנית). זה עשוי להספיק לתוקף לבצע בסביבה מבודדת עם גישה לרשת, למשל, לכרות מטבעות קריפטוגרפיים, לבצע התקפות DDoS או לשלוח דואר זבל.
תוקף יכול גם להשתמש בטכניקות עקיפה של בידוד בחבילות זדוניות, כגון ניצול פגיעויות לא מתוקנות בקרנל ומנגנוני בידוד, שימוש בממשקי Snap כדי לגשת למשאבים חיצוניים (להקלטת אודיו ווידאו נסתרים), או לכידת קלט מקלדת בעת שימוש בפרוטוקול X11 ( ליצירת keyloggers הפועלים בסביבת ארגז חול).
מקור: OpenNet.ru
