La herramienta 'command-not-found' de Ubuntu podría engañar a los usuarios

Los investigadores de ciberseguridad han descubierto que es posible que los actores de amenazas exploten una utilidad conocida llamada command-not-found para recomendar sus propios paquetes maliciosos y comprometer los sistemas que ejecutan el sistema operativo Ubuntu.

"Si bien el 'comando no encontrado' sirve como una herramienta conveniente para sugerir instalaciones para comandos desinstalados, los atacantes pueden manipularlo inadvertidamente a través del repositorio de instantáneas, lo que lleva a recomendaciones engañosas de paquetes maliciosos", dijo la firma de seguridad en la nube Aqua en un informe compartido con The Hacker News.

Instalado de forma predeterminada en los sistemas Ubuntu, command-not-found sugiere paquetes para instalar en sesiones bash interactivas cuando se intenta ejecutar comandos que no están disponibles. Las sugerencias incluyen tanto la herramienta de empaquetado avanzado (APT) como los paquetes de ajuste.

Cuando la herramienta utiliza una base de datos interna ("/var/lib/command-not-found/commands.db") para sugerir paquetes APT, se basa en el comando "advise-snap" para sugerir snaps que proporcionen el comando dado.

Por lo tanto, si un atacante puede jugar con este sistema y hacer que su paquete malicioso sea recomendado por el paquete command-not-found, podría allanar el camino para ataques a la cadena de suministro de software.

Aqua dijo que encontró una laguna de seguridad en la que el mecanismo de alias puede ser explotado por el actor de amenazas para registrar potencialmente el nombre de snap correspondiente asociado con un alias y engañar a los usuarios para que instalen el paquete malicioso.

Es más, un atacante podría reclamar el nombre del snap relacionado con un paquete APT y cargar un snap malicioso, que luego termina siendo sugerido cuando un usuario escribe el comando en su terminal.


"Los mantenedores del paquete APT 'jupyter-notebook' no habían reclamado el nombre de snap correspondiente", dijo el investigador de seguridad de Aqua, Ilay Goldman. "Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un snap malicioso llamado 'jupyter-notebook'".

Para empeorar las cosas, la utilidad command-not-found sugiere el paquete snap sobre el paquete APT legítimo para jupyter-notebook, engañando a los usuarios para que instalen el paquete snap falso.

Hasta el 26% de los comandos del paquete APT son vulnerables a la suplantación de identidad por parte de actores maliciosos, señaló Aqua, lo que presenta un riesgo de seguridad sustancial, ya que podrían registrarse bajo la cuenta de un atacante.

Una tercera categoría implica ataques de typosquatting en los que los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes snap falsos mediante el registro de un paquete fraudulento con el nombre "ifconfigg".

En tal caso, command-not-found "lo haría coincidir erróneamente con este comando incorrecto y recomendaría el chasquido malicioso, evitando por completo la sugerencia de 'net-tools'", explicaron los investigadores de Aqua.

Al describir el abuso de la utilidad command-not-found para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar la fuente de un paquete antes de la instalación y verificar la credibilidad de los mantenedores.

También se ha aconsejado a los desarrolladores de paquetes APT y snap que registren el nombre snap asociado a sus comandos para evitar que se utilicen indebidamente.

"Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas", dijo Aqua.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta