Ubuntu ‘command-not-found’ Tool Vulnerabile a Trucchi per Installare Pacchetti Fraudolenti
Recenti ricerche nel campo della sicurezza informatica hanno evidenziato la possibilità per attori minacciosi di sfruttare un’utilità ben nota chiamata command-not-found per consigliare i propri pacchetti fraudolenti e compromettere i sistemi operativi Ubuntu.
“Sebbene ‘command-not-found’ serva come strumento comodo per suggerire installazioni per comandi non installati, può essere manipolato inavvertitamente dagli attaccanti tramite il repository snap, portando a consigli fuorvianti di pacchetti maligni,” ha dichiarato la società di sicurezza informatica Aqua in un rapporto condiviso con The Hacker News.
Installato di default sui sistemi Ubuntu, command-not-found suggerisce pacchetti da installare nelle sessioni interattive di bash quando si tenta di eseguire comandi non disponibili. Le suggerimenti includono pacchetti sia del Advanced Packaging Tool (APT) che snap.
Quando lo strumento utilizza un database interno (“/var/lib/command-not-found/commands.db”) per suggerire pacchetti APT, si affida al comando “advise-snap” per suggerire snaps che forniscono il comando richiesto.
Pertanto, se un attaccante fosse in grado di manipolare questo sistema e far consigliare il proprio pacchetto maligno dal pacchetto command-not-found, potrebbe aprirsi la strada per attacchi alla catena di approvvigionamento software.
Aqua ha individuato una falla di sicurezza in cui il meccanismo degli alias può essere sfruttato dall’attaccante per registrare potenzialmente il nome snap corrispondente associato a un alias e ingannare gli utenti nell’installare il pacchetto maligno.
Inoltre, un attaccante potrebbe reclamare il nome snap relativo a un pacchetto APT e caricare uno snap maligno, che finirebbe per essere suggerito quando un utente digita il comando sul proprio terminale.
“Coloro che mantengono il pacchetto APT ‘jupyter-notebook’ non avevano reclamato il nome snap corrispondente,” ha detto il ricercatore di sicurezza di Aqua Ilay Goldman. “Questa dimenticanza ha lasciato una finestra di opportunità per un attaccante di reclamarlo e caricare uno snap maligno chiamato ‘jupyter-notebook’.”
Per rendere le cose ancora peggiori, l’utilità command-not-found suggerisce lo snap package anziché il legittimo pacchetto APT per jupyter-notebook, inducendo gli utenti a installare il falso snap package.
Fino al 26% dei comandi dei pacchetti APT sono vulnerabili all’imitazione da parte di attori malintenzionati, ha notato Aqua, presentando un rischio di sicurezza considerevole, poiché potrebbero essere registrati sotto il conto di un attaccante.
Una terza categoria comprende attacchi di typosquatting in cui gli errori di battitura degli utenti (ad esempio, ifconfigg invece di ifconfig) vengono sfruttati per suggerire snap packages falsi registrando un pacchetto fraudolento con il nome “ifconfigg”.
In tali casi, command-not-found “accoppierebbe erroneamente il comando incorretto e consiglierebbe lo snap maligno, aggirando completamente il suggerimento per ‘net-tools’,” hanno spiegato i ricercatori di Aqua.
Descrivendo l’abuso dell’utilità command-not-found per consigliare pacchetti contraffatti come una preoccupazione urgente, l’azienda esorta gli utenti a verificare la fonte di un pacchetto prima dell’installazione e a controllare la credibilità dei manutentori.
Anche gli sviluppatori di pacchetti APT e snap sono stati invitati a registrare il nome snap associato ai loro comandi per impedirne l’abuso.
“Rimane incerto quanto estensivamente queste capacità siano state sfruttate, sottolineando l’urgenza di una vigilanza intensificata e di strategie di difesa proattive,” ha dichiarato Aqua.