Aqua Security'den araştırmacılar, Ubuntu dağıtım kiti kullanıcılarına yönelik bir saldırı olasılığına, bir programı başlatma girişiminde bulunulduğunda ipucu sağlayan "komut bulunamadı" işleyicisinin uygulama özelliklerini kullanarak dikkat çekti. sistemde değil. Sorun, sistemde mevcut olmayan çalıştırma komutlarını değerlendirirken, "komut bulunamadı" özelliğinin yalnızca standart depolardaki paketleri değil, aynı zamanda önerileri seçerken snapcraft.io dizinindeki ek paketleri kullanmasıdır.
Snapcraft.io dizininin içeriğine dayalı bir öneri oluştururken, "komut bulunamadı" işleyicisi paket durumunu dikkate almaz ve yalnızca dizine doğrulanmamış kullanıcılar tarafından eklenen paketleri kapsar. Böylece, bir saldırgan snapcraft.io'ya gizli kötü amaçlı içeriğe sahip bir paket ve mevcut DEB paketleriyle, orijinal olarak depoda olmayan programlarla veya adları yazarken tipik yazım hatalarını ve kullanıcı hatalarını yansıtan hayali uygulamalarla örtüşen bir ad yerleştirebilir. popüler yardımcı programlardan.
Örneğin, kullanıcının “traceroute” ve “tcpdump” yardımcı programlarının adlarını yazarken hata yapacağı ve “command-not-found”un tavsiye edeceği beklentisiyle “tracert” ve “tcpdamp” paketlerini yerleştirebilirsiniz. saldırganın snapcraft.io'dan yerleştirdiği kötü amaçlı paketleri yüklemek. Kullanıcı bu sorunu fark etmeyebilir ve sistemin yalnızca kanıtlanmış paketleri önerdiğini düşünebilir. Saldırgan aynı zamanda snapcraft.io'ya, adı mevcut deb paketleriyle örtüşen bir paket de yerleştirebilir; bu durumda "komut bulunamadı", deb ve snap kurulumu için iki öneri verecektir ve kullanıcı, daha güvenli olduğunu düşünerek snap'i seçebilir. veya daha yeni sürüme kapıldınız.
Snapcraft.io'nun otomatik incelemeye izin verdiği Snap uygulamaları yalnızca yalıtılmış bir ortamda çalışabilir (yalıtılmamış anlık görüntüler yalnızca manuel incelemeden sonra yayınlanır). Bir saldırganın ağa erişimi olan izole bir ortamda kripto para madenciliği yapmak, DDoS saldırıları gerçekleştirmek veya spam göndermek gibi işlemler yapması yeterli olabilir.
Saldırgan ayrıca, kötü amaçlı paketlerde, çekirdekteki yamalı güvenlik açıklarından ve izolasyon mekanizmalarından yararlanmak, harici kaynaklara erişmek için ek arayüzler kullanmak (gizli ses ve video kaydı için) veya X11 protokolünü kullanırken klavye girişini yakalamak gibi izolasyon atlama tekniklerini de kullanabilir ( korumalı alan ortamında çalışan keylogger'lar oluşturmak için).
Kaynak: opennet.ru