Tool 'command-not-found' podría permitir instalar paquetes no autorizados

Iniciado por AXCESS, Febrero 14, 2024, 07:27:38 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto que es posible que los actores de amenazas exploten una utilidad conocida llamada comando-not-found para recomendar sus propios paquetes maliciosos y comprometer sistemas que ejecutan el sistema operativo Ubuntu.

"Si bien 'command-not-found' sirve como una herramienta conveniente para sugerir instalaciones para comandos desinstalados, los atacantes pueden manipularlo inadvertidamente a través del repositorio instantáneo, lo que lleva a recomendaciones engañosas de paquetes maliciosos", dijo la firma de seguridad en la nube Aqua en un informe.

Instalado de forma predeterminada en sistemas Ubuntu, comando-not-found sugiere paquetes para instalar en sesiones bash interactivas cuando se intenta ejecutar comandos que no están disponibles. Las sugerencias incluyen tanto la herramienta de embalaje avanzada (APT) como los paquetes instantáneos.

Cuando la herramienta utiliza una base de datos interna ("/var/lib/command-not-found/commands.db") para sugerir paquetes APT, se basa en el comando "advise-snap" para sugerir instantáneas que proporcionen el comando dado.

Por lo tanto, si un atacante pudiera jugar con este sistema y su paquete malicioso fuera recomendado por 'command-not-found', podría allanar el camino para ataques a la cadena de suministro de software.

Aqua dijo que encontró una posible laguna jurídica en la que el actor de amenazas puede explotar el mecanismo de alias para registrar potencialmente el nombre instantáneo correspondiente asociado con un alias y engañar a los usuarios para que instalen el paquete malicioso.

Es más, un atacante podría reclamar el nombre del complemento relacionado con un paquete APT y cargar un complemento malicioso, que luego termina siendo sugerido cuando un usuario escribe el comando en su terminal.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Los mantenedores del paquete APT 'jupyter-notebook' no habían reclamado el nombre correspondiente", dijo Aqua. "Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un complemento malicioso llamado 'jupyter-notebook'".

Para empeorar las cosas, la utilidad 'command-not-found'sugiere el paquete snap encima del paquete APT legítimo para jupyter-notebook, engañando a los usuarios para que instalen el paquete snap falso.

Hasta el 26% de los comandos del paquete APT son vulnerables a la suplantación por parte de actores maliciosos, señaló Aqua, lo que presenta un riesgo de seguridad sustancial, ya que podrían registrarse en la cuenta de un atacante.

Una tercera categoría implica ataques tipográficos en los que los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes instantáneos falsos al registrar un paquete fraudulento con el nombre "ifconfigg".

En tal caso, 'command-not-found' "lo relacionaría por error con este comando incorrecto y recomendaría el complemento malicioso, evitando por completo la sugerencia de 'herramientas de red'", explicaron los investigadores de Aqua.

Al describir el abuso de la utilidad 'command-not-found'para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar el origen de un paquete antes de la instalación y verificar la credibilidad de sus mantenedores.

También se ha recomendado a los desarrolladores de APT y paquetes snap que registren el nombre del snap asociado a sus comandos para evitar un mal uso.

"Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas", dijo Aqua.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta