Onderzoekers van Aqua Security hebben gewezen op de mogelijkheid van een aanval op gebruikers van de distributie. UbuntuHierbij wordt gebruikgemaakt van de implementatie van de "command-not-found"-handler, die een prompt geeft wanneer geprobeerd wordt een programma uit te voeren dat niet op het systeem aanwezig is. Het probleem is dat "command-not-found" bij het evalueren van uit te voeren commando's die niet op het systeem aanwezig zijn, niet alleen pakketten uit de standaard repositories gebruikt, maar ook snap-pakketten uit de snapcraft.io-directory bij het kiezen van een aanbeveling.
Bij het genereren van een aanbeveling op basis van de inhoud van de snapcraft.io-directory houdt de "command-not-found"-handler geen rekening met de pakketstatus. Alleen pakketten die door niet-geverifieerde gebruikers aan de directory zijn toegevoegd, worden meegenomen. Zo kan een aanvaller een pakket in snapcraft.io plaatsen met verborgen schadelijke inhoud en een naam die overlapt met bestaande DEB-pakketten, programma's die in eerste instantie niet in de repository voorkomen of fictieve toepassingen waarvan de namen typische typefouten en gebruikersfouten weerspiegelen bij het typen van de namen van populaire hulpprogramma's.
U kunt bijvoorbeeld de pakketten 'tracert' en 'tcpdamp' plaatsen met de verwachting dat de gebruiker een fout maakt bij het typen van de namen van de hulpprogramma's 'traceroute' en 'tcpdump', en 'command-not-found' zal aanbevelen om schadelijke pakketten te installeren die door de aanvaller zijn geplaatst vanaf snapcraft.io. De gebruiker merkt het addertje onder het gras misschien niet en denkt dat het systeem alleen geverifieerde pakketten aanbeveelt. Een aanvaller kan ook een pakket in snapcraft.io plaatsen waarvan de naam overlapt met bestaande deb-pakketten. In dat geval geeft "command-not-found" twee aanbevelingen om deb en snap te installeren. De gebruiker kan dan voor snap kiezen, omdat hij/zij dit veiliger vindt of omdat hij/zij meer geïnteresseerd is in een nieuwere versie.
Snaps waarvoor automatische beoordeling is ingeschakeld in snapcraft.io, kunnen alleen in een sandbox worden uitgevoerd (niet-snaps worden alleen gepubliceerd na handmatige beoordeling). Een aanvaller hoeft zich mogelijk alleen in een geïsoleerde omgeving met netwerktoegang te bevinden, bijvoorbeeld om cryptocurrency te minen, DDoS-aanvallen uit te voeren of spam te versturen.
Een aanvaller kan ook methoden in schadelijke pakketten gebruiken om isolatie te omzeilen, zoals het misbruiken van ongepatchte kwetsbaarheden in de kernel en isolatiemechanismen, het gebruiken van snap-interfaces om toegang te krijgen tot externe bronnen (voor geheime audio- en video-opnamen) of het vastleggen van toetsenbordinvoer met behulp van het X11-protocol (om sandbox-keyloggers te maken).
Bron: opennet.ru
