研究人员表示,黑客可以滥用Ubuntu的“未找到命令”软件包建议系统,向用户提供恶意软件。攻击面相对较大,威胁参与者可以通过多种方式滥用该功能。
这是根据网络安全研究人员Aqua Nautilus的一份新报告得出的,该报告指出,当Ubuntu用户想要运行当前未安装在端点上的特定程序时,他们可以调出“command-not-found”实用程序,并让它建议安装软件包。
这里的问题是无法知道建议的包是否是恶意的。该工具会建议来自内部数据库的软件包,以及来自 Snap Store 的经常更新的数据库,用于 snap 软件包。因此,从理论上讲,威胁行为者可以迫使系统向用户建议恶意软件包。
充足的冒充空间
研究人员进一步说,有三种方法可以滥用该工具。第一种是简单地将恶意快照发布到 Snap Store,并希望审查过程不像高级软件包工具 (APT) 软件包那样详细。Snap 包可以发布为“严格”或“经典”,第一个仅用于沙盒,第二个具有不受限制的访问,类似于 APT 包。据说,第二个是手动审查的,为成功隐藏恶意软件开辟了足够的空间。
第二种方法与第一种方法类似,因为由于命名系统中的漏洞,攻击者可以为合法的 APT 包注册恶意 snap 包,迫使该工具同时建议这两种方法。在那之后,受害者选错只是一个机会问题。
第三种方法涉及威胁参与者注册用户可能期望存在的无人认领的快照名称,通常是因为与已知命令可能相似。
研究人员说:“如果开发人员希望他们的snap执行一个偏离<snap名称>.<应用程序名称>格式的命令,而不仅仅是<snap名称>,他们必须请求别名。“这样的请求会启动一个人工审查过程,在这个过程中,对请求的别名进行投票,以确保它与应用程序保持一致。”
但是,如果开发人员没有在别名下注册快照,则攻击者可以使用自己的快照进入。
Aqua Nautilus 表示,四分之一 (26%) 的 APT 软件包命令可能会被冒充,这对 Linux 和 Linux 用户的 WIndows 子系统来说都是一个主要的供应链风险。
