Исследователи кибербезопасности обнаружили, что субъекты угроз могут использовать хорошо известную утилиту под названием command-not-found, чтобы рекомендовать свои собственные мошеннические пакеты и компрометировать системы, работающие под управлением операционной системы Ubuntu.
"Хотя "command-not-found" служит удобным инструментом для предложения установки удаленных команд, злоумышленники могут непреднамеренно манипулировать им через репозиторий snap, что приводит к ложным рекомендациям вредоносных пакетов", - говорится в отчете компании Aqua, занимающейся облачной безопасностью, которым поделились с Hacker News.
Установленный по умолчанию в системах Ubuntu, command-not-found предлагает устанавливать пакеты в интерактивных сеансах bash при попытке запуска команд, которые недоступны. Предложения включают как средство расширенной упаковки (APT), так и пакеты snap.
Когда инструмент использует внутреннюю базу данных ("/ var / lib /command-not-found /commands.db") для предложения подходящих пакетов, он полагается на команду "advise-snap", чтобы предложить привязки, которые предоставляют данную команду.
Таким образом, если злоумышленник сможет использовать эту систему и его вредоносный пакет будет рекомендован пакетом command-not-found , это может проложить путь для атак по цепочке поставок программного обеспечения.
Aqua заявила, что обнаружила потенциальную лазейку, при которой механизм псевдонимов может быть использован субъектом угрозы для потенциальной регистрации соответствующего имени привязки, связанного с псевдонимом, и обмана пользователей с целью установки вредоносного пакета.
Более того, злоумышленник может присвоить себе имя snap, связанное с пакетом APT, и загрузить вредоносную snap, которая затем будет предложена, когда пользователь введет команду на своем терминале.
"Разработчики APT-пакета "jupyter-notebook" не указали соответствующее имя snap", - сказал Аква. "Эта оплошность предоставила злоумышленнику возможность заявить о ней и загрузить вредоносный снимок под названием "jupyter-notebook"".
Что еще хуже, утилита command-not-found предлагает пакет snap поверх законного пакета APT для jupyter-notebook, вводя пользователей в заблуждение относительно установки поддельного пакета snap.
По словам Aqua, до 26% команд пакета APT уязвимы для олицетворения злоумышленниками, что представляет существенную угрозу безопасности, поскольку они могут быть зарегистрированы под учетной записью злоумышленника.
Третья категория включает атаки с опечатыванием, при которых типографские ошибки, допущенные пользователями (например, ifconfigg вместо ifconfig), используются для предложения поддельных пакетов snap путем регистрации поддельного пакета с именем "ifconfigg".
В таком случае command-not-found "ошибочно сопоставит его с этой неверной командой и порекомендует вредоносную привязку, полностью обходя предложение для "net-tools", - объяснили исследователи Aqua.
Описывая злоупотребление утилитой command-not-found для рекомендации поддельных пакетов как насущную проблему, компания призывает пользователей проверять источник пакета перед установкой и проверять надежность сопровождающих.
Разработчикам пакетов APT и snap также было рекомендовано зарегистрировать соответствующее имя snap для своих команд, чтобы предотвратить их неправильное использование.
"Остается неясным, насколько широко использовались эти возможности, что подчеркивает настоятельную необходимость повышенной бдительности и стратегий упреждающей защиты", - сказал Аква.
"Хотя "command-not-found" служит удобным инструментом для предложения установки удаленных команд, злоумышленники могут непреднамеренно манипулировать им через репозиторий snap, что приводит к ложным рекомендациям вредоносных пакетов", - говорится в отчете компании Aqua, занимающейся облачной безопасностью, которым поделились с Hacker News.
Установленный по умолчанию в системах Ubuntu, command-not-found предлагает устанавливать пакеты в интерактивных сеансах bash при попытке запуска команд, которые недоступны. Предложения включают как средство расширенной упаковки (APT), так и пакеты snap.
Когда инструмент использует внутреннюю базу данных ("/ var / lib /command-not-found /commands.db") для предложения подходящих пакетов, он полагается на команду "advise-snap", чтобы предложить привязки, которые предоставляют данную команду.
Таким образом, если злоумышленник сможет использовать эту систему и его вредоносный пакет будет рекомендован пакетом command-not-found , это может проложить путь для атак по цепочке поставок программного обеспечения.
Aqua заявила, что обнаружила потенциальную лазейку, при которой механизм псевдонимов может быть использован субъектом угрозы для потенциальной регистрации соответствующего имени привязки, связанного с псевдонимом, и обмана пользователей с целью установки вредоносного пакета.
Более того, злоумышленник может присвоить себе имя snap, связанное с пакетом APT, и загрузить вредоносную snap, которая затем будет предложена, когда пользователь введет команду на своем терминале.
"Разработчики APT-пакета "jupyter-notebook" не указали соответствующее имя snap", - сказал Аква. "Эта оплошность предоставила злоумышленнику возможность заявить о ней и загрузить вредоносный снимок под названием "jupyter-notebook"".
Что еще хуже, утилита command-not-found предлагает пакет snap поверх законного пакета APT для jupyter-notebook, вводя пользователей в заблуждение относительно установки поддельного пакета snap.
По словам Aqua, до 26% команд пакета APT уязвимы для олицетворения злоумышленниками, что представляет существенную угрозу безопасности, поскольку они могут быть зарегистрированы под учетной записью злоумышленника.
Третья категория включает атаки с опечатыванием, при которых типографские ошибки, допущенные пользователями (например, ifconfigg вместо ifconfig), используются для предложения поддельных пакетов snap путем регистрации поддельного пакета с именем "ifconfigg".
В таком случае command-not-found "ошибочно сопоставит его с этой неверной командой и порекомендует вредоносную привязку, полностью обходя предложение для "net-tools", - объяснили исследователи Aqua.
Описывая злоупотребление утилитой command-not-found для рекомендации поддельных пакетов как насущную проблему, компания призывает пользователей проверять источник пакета перед установкой и проверять надежность сопровождающих.
Разработчикам пакетов APT и snap также было рекомендовано зарегистрировать соответствующее имя snap для своих команд, чтобы предотвратить их неправильное использование.
"Остается неясным, насколько широко использовались эти возможности, что подчеркивает настоятельную необходимость повышенной бдительности и стратегий упреждающей защиты", - сказал Аква.
