Cybersecurity-onderzoekers hebben ontdekt dat het voor bedreigingsactoren mogelijk is om een bekend hulpprogramma genaamd command-not-found te misbruiken om hun eigen frauduleuze pakketten aan te bevelen en systemen met het Ubuntu-besturingssysteem in gevaar te brengen.
“Hoewel ‘command-not-found’ dient als een handig hulpmiddel voor het voorstellen van installaties voor niet-geïnstalleerde commando’s, kan het onbedoeld door aanvallers worden gemanipuleerd via de snap-repository, wat leidt tot misleidende aanbevelingen van kwaadaardige pakketten”, aldus cloudbeveiligingsbedrijf Aqua in een rapport. gedeeld met The Hacker News.
command-not-found wordt standaard geïnstalleerd op Ubuntu-systemen en suggereert pakketten die moeten worden geïnstalleerd in interactieve bash-sessies wanneer wordt geprobeerd opdrachten uit te voeren die niet beschikbaar zijn. De suggesties omvatten zowel de Advanced Packaging Tool (APT) als snap-pakketten.
Wanneer het hulpprogramma een interne database (“/var/lib/command-not-found/commands.db”) gebruikt om APT-pakketten voor te stellen, vertrouwt het op het commando “advise-snap” om snaps voor te stellen die de gegeven opdracht bieden.
Mocht een aanvaller dit systeem dus kunnen bespelen en zijn kwaadaardige pakket laten aanbevelen door het command-not-found-pakket, dan zou dit de weg vrij kunnen maken voor aanvallen op de softwaretoevoerketen.
Aqua zei dat het een potentiële maas in de wet heeft gevonden waarin het aliasmechanisme door de bedreigingsacteur kan worden uitgebuit om mogelijk de corresponderende snapnaam die aan een alias is gekoppeld te registreren en gebruikers te misleiden om het kwaadaardige pakket te installeren.
Bovendien kan een aanvaller de snapnaam claimen die verband houdt met een APT-pakket en een kwaadaardige snap uploaden, die vervolgens wordt voorgesteld wanneer een gebruiker de opdracht op zijn terminal typt.
“De beheerders van het ‘jupyter-notebook’ APT-pakket hadden de bijbehorende snap-naam niet geclaimd”, zei Aqua. “Dit toezicht gaf een aanvaller de kans om het te claimen en een kwaadaardige module met de naam ‘jupyter-notebook’ te uploaden.”
Tot overmaat van ramp suggereert het commando-not-found-hulpprogramma het snap-pakket boven het legitieme APT-pakket voor jupyter-notebook, waardoor gebruikers worden misleid om het nep-snap-pakket te installeren.
Maar liefst 26% van de APT-pakketopdrachten zijn kwetsbaar voor nabootsing van identiteit door kwaadwillende actoren, merkte Aqua op, wat een aanzienlijk veiligheidsrisico met zich meebrengt, omdat ze kunnen worden geregistreerd onder het account van een aanvaller.
Een derde categorie omvat typosquatting-aanvallen waarbij typografische fouten gemaakt door gebruikers (bijvoorbeeld ifconfigg in plaats van ifconfig) worden gebruikt om nep-snap-pakketten voor te stellen door een frauduleus pakket met de naam “ifconfigg” te registreren.
In zo’n geval zou command-not-found “het ten onrechte matchen met dit onjuiste commando en de kwaadaardige snap aanbevelen, waarbij de suggestie voor ‘net-tools’ helemaal wordt omzeild”, legden Aqua-onderzoekers uit.
Het bedrijf beschrijft het misbruik van het command-not-found-hulpprogramma om namaakpakketten aan te bevelen als een urgent probleem en dringt er bij gebruikers op aan om de bron van een pakket te verifiëren vóór installatie en de geloofwaardigheid van de beheerders te controleren.
Ontwikkelaars van APT- en snap-pakketten is ook geadviseerd om de bijbehorende snap-naam voor hun opdrachten te registreren om misbruik ervan te voorkomen.
“Het blijft onzeker hoe uitgebreid deze capaciteiten zijn uitgebuit, wat de urgentie van verhoogde waakzaamheid en proactieve defensiestrategieën onderstreept”, aldus Aqua.
