Cercetătorii de la Aqua Security au remarcat posibilitatea unui atac asupra utilizatorilor distribuției. Ubuntu, profitând de implementarea handlerului „command-not-found”, care oferă o solicitare atunci când se încearcă rularea unui program care nu există pe sistem. Problema este că, atunci când se evaluează comenzile de executat care nu sunt prezente pe sistem, „command-not-found” utilizează nu doar pachete din repozitoriile standard, ci și pachete snap din directorul snapcraft.io atunci când alege o recomandare.
Atunci când se generează o recomandare bazată pe conținutul directorului snapcraft.io, handlerul „command-not-found” nu ia în considerare starea pachetului și acoperă doar pachetele adăugate în director de utilizatorii neverificați. Astfel, un atacator poate plasa în snapcraft.io un pachet cu conținut rău intenționat ascuns și un nume care se suprapune cu pachetele DEB existente, programe care nu se aflau inițial în depozit sau aplicații fictive ale căror nume reflectă greșelile tipice de scriere și erorile utilizatorului la tastarea numelor. de utilitati populare.
De exemplu, puteți plasa pachetele „tracert” și „tcpdamp” cu așteptarea ca utilizatorul să greșească atunci când introduce numele utilităților „traceroute” și „tcpdump”, iar „command-not-found” va recomanda instalarea pachetelor rău intenționate plasate de atacator din snapcraft.io. Este posibil ca utilizatorul să nu observe captura și să creadă că sistemul recomandă doar pachete dovedite. De asemenea, un atacator poate plasa un pachet în snapcraft.io al cărui nume se suprapune cu pachetele deb existente, caz în care „command-not-found” va oferi două recomandări pentru instalarea deb și snap, iar utilizatorul poate alege snap, considerându-l mai sigur. sau tentat de versiunea mai nouă.
Aplicațiile snap pe care snapcraft.io le permite revizuirea automată pot rula numai într-un mediu izolat (snap-urile neizolate sunt publicate numai după revizuirea manuală). Poate fi suficient ca un atacator să execute într-un mediu izolat, cu acces la rețea, de exemplu, să mine criptomonede, să efectueze atacuri DDoS sau să trimită spam.
Un atacator poate folosi, de asemenea, tehnici de ocolire a izolației în pachete rău intenționate, cum ar fi exploatarea vulnerabilităților nepatchate din nucleu și mecanismele de izolare, utilizarea interfețelor snap pentru a accesa resurse externe (pentru înregistrări audio și video ascunse) sau capturarea intrărilor de la tastatură atunci când se utilizează protocolul X11 ( pentru crearea de keylogger care lucrează într-un mediu sandbox).
Sursa: opennet.ru
