A ferramenta 'comando não encontrado' do Ubuntu pode enganar os usuários para que instalem pacotes não autorizados
Pesquisadores de segurança cibernética descobriram que é verosímil que os agentes de ameaças explorem um utilitário divulgado chamado comando não encontrado para recomendar seus próprios pacotes nocivos e comprometer sistemas que executam o sistema operacional Ubuntu.
“Embora o ‘comando não encontrado’ sirva porquê uma utensílio profíquo para sugerir instalações para comandos desinstalados, ele pode ser manipulado inadvertidamente por invasores por meio do repositório snap, levando a recomendações enganosas de pacotes maliciosos”, disse a empresa de segurança em nuvem Aqua em um relatório. compartilhado com The Hacker News.
Instalado por padrão em sistemas Ubuntu, command-not-found sugere pacotes para instalar em sessões interativas do bash ao tentar executar comandos que não estão disponíveis. As sugestões incluem a Advanced Packaging Tool (APT) e pacotes instantâneos.
Quando a utensílio usa um banco de dados interno (“/var/lib/command-not-found/commands.db”) para sugerir pacotes APT, ela depende do comando “advise-snap” para sugerir snaps que fornecem o comando fornecido.
Assim, se um invasor conseguir manipular esse sistema e ter seu pacote malicioso recomendado pelo pacote comando não encontrado, isso poderá transfixar caminho para ataques à prisão de suprimentos de software.
Aqua disse que encontrou uma brecha potencial em que o mecanismo de alias pode ser explorado pelo agente da prenúncio para potencialmente registrar o nome momentâneo correspondente associado a um alias e enganar os usuários para que instalem o pacote malicioso.
Além do mais, um invasor pode reivindicar o nome do snap relacionado a um pacote APT e fazer upload de um snap malicioso, que acaba sendo sugerido quando um usuário digita o comando em seu terminal.
“Os mantenedores do pacote APT ‘jupyter-notebook’ não reivindicaram o nome snap correspondente”, disse Aqua. “Esse incúria deixou uma janela de oportunidade para um invasor reivindicá-lo e enviar um snap malicioso chamado ‘jupyter-notebook’”.
Para piorar a situação, o utilitário comando não encontrado sugere o pacote snap supra do pacote APT legítimo para jupyter-notebook, enganando os usuários para que instalem o pacote snap falso.
Até 26% dos comandos do pacote APT são vulneráveis à representação por agentes maliciosos, observou Aqua, apresentando um risco de segurança sucoso, uma vez que podem ser registados na conta de um atacante.
Uma terceira categoria envolve ataques de typosquatting nos quais erros tipográficos cometidos pelos usuários (por exemplo, ifconfigg em vez de ifconfig) são aproveitados para sugerir pacotes snap falsos, registrando um pacote fraudulento com o nome “ifconfigg”.
Nesse caso, o comando não encontrado “combinaria erroneamente com leste comando incorreto e recomendaria o snap malicioso, ignorando completamente a sugestão de ‘ferramentas de rede’”, explicaram os pesquisadores do Aqua.
Descrevendo o injúria do utilitário comando não encontrado para recomendar pacotes falsificados porquê uma preocupação urgente, a empresa está pedindo aos usuários que verifiquem a origem de um pacote antes da instalação e verifiquem a credibilidade dos mantenedores.
Os desenvolvedores de pacotes APT e snap também foram aconselhados a registrar o nome snap associado aos seus comandos para evitar que sejam mal utilizados.
“Ainda não se sabe até que ponto estas capacidades foram exploradas, sublinhando a urgência de uma maior vigilância e de estratégias de resguardo proactivas”, disse Aqua.
