Опубликованы результаты эксперимента по захвату контроля над пакетами в репозитории AUR (Arch User Repository), применяемом для распространения сторонними разработчиками своих пакетов без включения в основные репозитории дистрибутива Arch Linux. Исследователи подготовили скрипт, проверяющий истечение регистрации доменов, фигурирующих в файлах PKGBUILD и SRCINFO. В ходе запуска данного скрипта было выявлено 14 просроченных домена, используемых в 20 пакетах для загрузки файлов.
Vienkāršs domēna reģistrācija Ar to nepietiek pakotņu viltošanai, jo lejupielādētais saturs tiek pārbaudīts, salīdzinot ar kontrolsummu, kas jau ir augšupielādēta AUR. Tomēr izrādījās, ka aptuveni 35% AUR pakotņu uzturētāji izmanto PKGBUILD faila parametru "SKIP", lai apietu kontrolsummas pārbaudi (piemēram, norādot sha256sums=('SKIP')). No 20 pakotnēm ar beigušiem domēniem SKIP parametrs tika izmantots 4.
Lai demonstrētu uzbrukuma iespējamību, pētnieki iegādājās domēnu vienai no pakotnēm, kas nepārbauda kontrolsummas, un ievietoja tajā arhīvu ar kodu un modificētu instalācijas skriptu. Faktiskā satura vietā skriptam ir pievienots brīdinājums par trešās puses koda izpildi. Mēģinājums instalēt pakotni noveda pie viltotu failu lejupielādes un, tā kā kontrolsumma netika pārbaudīta, eksperimentētāju pievienotā koda veiksmīga instalēšana un palaišana.
Paketes ar domēniem, kuriem beidzies derīguma termiņš:
- firefox-vakuums
- gvim-checkpath
- vīns-pixi2
- xcursor-theme-wii
- bez gaismas zonas
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-pagājis
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- ēterdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Avots: opennet.ru
