Un error a Ubuntu pot portar l'usuari a instal·lar paquets maliciosos
Investigadors d'Aqua Security van donar a conèixer fa poc, mitjançant una publicació de bloc, la possibilitat d'un atac dirigit als usuaris Ubuntu, aprofitant una de les funcions més conegudes i també de la ignorància o distracció dels usuaris.
I és que per als usuaris de Linux en general, un dels missatges més comuns que solem trobar-nos quan som a la terminal és el famós command-not-foun. Aquest famós missatge que ens indica que el que estem sol·licitant no està al sistema (en la majoria dels casos) o que estem teclat alguna cosa malament.
Ningú em deixarà mentir, a tots ens ha passat, ja sigui perquè creiem i estem segurs que el paquet o aplicació amb què treballarem a la terminal es troba en el nostre sistema o simplement que per descuit teclegem alguna lletra malament i en aquest moment ens salta el command-not-foun. Com tots sabran, quan aquest missatge ens apareix se'nsvol fer la recomanació de la instal·lació d'aquest paquet que no és trobat. Un exemple pràctic del missatge seria una cosa així:
Command 'Firefox' not found, but can be installed with: sudo apt install "paquete 1 recomendado" sudo snap install "paquete malicioso"
Com a tal, aquest controlador proporciona una pista quan s'intenta iniciar un programa que no és al sistema.
Tornant al punt de l'article, els iinvestigadors d'Aqua Security van detectar un problema que radica en la forma com s'avaluen les ordres per executar els que no són presents al sistema, ja que no només recomana la instal·lació de paquets dels repositoris estàndard, sinó també paquets snap del directori snapcraft.io en oferir recomanacions.
A més, la nostra investigació indica que fins al 26% de les ordres associades amb paquets APT (Advanced Package Tool) són vulnerables a la suplantació per part d'actors maliciosos. Aquest problema podria aplanar el camí per a atacs a la cadena de subministrament que afectin els usuaris de Linux i Windows que executen WSL. Aquest bloc aprofundeix els detalls operatius de command-not-found, els riscos associats amb la instal·lació de paquets snap compromesos i els diversos vectors d'atac que podrien explotar-se.
Quan es fa una recomanació basada en el contingut del directori snapcraft.io, el controlador com a tal no avalua l'estat del paquet i només cobreix els paquets agregats al directori per usuaris no verificats. Per tant, un atacant pot col·locar un paquet amb contingut maliciós ocult a snapcraft.io, amb un nom que se superposi amb paquets DEB existents, programes que originalment no estaven al repositori o aplicacions fictícies els noms de les quals reflecteixen errors tipogràfics i errors típics de els usuaris en escriure els noms dutilitats populars.
Per exemple, un atacant pot col·locar paquets com a «Firefox-123» amb l'expectativa que l'usuari que cometi errors en escriure els noms de les utilitats i en aquest cas, command-not-found recomanarà instal·lar els paquets maliciosos col·locats per l'atacant des de snapcraft.io.
És possible que l'usuari no s'adoni del problema i penseu que el sistema només recomana paquets provats. A més, un atacant pot col·locar un paquet a snapcraft.io el nom del qual se superposi amb els paquets DEB existents o amb algun atractiu al nom. En aquest escenari, command-not-found donarà dues recomanacions per instal·lar DEB i snap, i l'usuari pot triar snap, considerant-lo més segur o temptat per la nova versió.
Les aplicacions snap permeses per snapcraft.io per a la revisió automàtica només es poden executar en un entorn aïllat. No obstant això, un atacant pot aprofitar aquest entorn aïllat, per exemple, per extreure criptomonedes, realitzar atacs DDoS o enviar correu brossa.
A més, un atacant pot fer servir tècniques d'elusió d'aïllament en paquets maliciosos. Això inclou explotar vulnerabilitats no aplicades al nucli i mecanismes d'aïllament, utilitzar interfícies de snap per accedir a recursos externs (com enregistraments d'àudio i vídeo ocults) o capturar entrades de teclat quan s'utilitza el protocol X11 (per crear keyloggers que funcionin a un entorn sandbox).
Els investigadors d'Aqua Security recomanen, per protegir-se contra aquestes amenaces, adoptar diverses mesures preventives:
- Els usuaris han de verificar l'origen d'un paquet abans de la instal·lació i verificar la credibilitat dels mantenidors i la plataforma recomanada (snap o APT).
- Els desenvolupadors de Snap amb un àlies han de registrar immediatament el nom corresponent si s'alinea amb la seva aplicació per evitar un ús indegut.
- S'anima els desenvolupadors de paquets APT a registrar el nom snap associat als seus comandaments, protegint-los de manera preventiva contra possibles suplantacions per part d'atacants.
Finalment si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent enllaç.