Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
Feb 16, 2024 Marina Londei Hacking, In evidenza, Minacce, News, RSS 0
I ricercatori di Aqua Security hanno individuato una vulnerabilità che nasce dall’interazione tra il package command-not-found di Ubuntu e lo Snap package repository che consente a un attaccante di ingannare la vittima e farle installare pacchetti malevoli.
Il command-not-found
viene usato per consigliare all’utente dei pacchetti quando digita un comando bash o zsh non disponibile sul sistema. Il pacchetto suggerisce sia package APT che Snap e, in caso il comando digitato corrisponda a pacchetti di entrambi, li consiglia tutti e due.
Nel caso di pacchetti Snap, command-not-found
sfrutta il comando snap advise-snap
per accedere al database sempre aggiornato di pacchetti disponibili sullo Store Snap e seleziona quelli che corrispondono o sono simili al comando digitato. Gli attaccanti possono usare questo meccanismo per pubblicare il proprio pacchetto malevolo e fare in modo che venga proposto all’utente.
Al contrario dello store APT, la pubblicazione di pacchetti Snap è molto più semplice perché il processo di review dello store è piuttosto lasco; ciò consente ai cybercriminali di aggiungere il proprio pacchetto al database Snap senza particolari problemi.
Gli attaccanti hanno diversi modi per fare in modo che all’utente venga proposto il pacchetto malevolo. Il primo trucco, il più semplice, consiste nell’usare gli errori di battitura più comuni dei comandi per puntare ai propri pacchetti. Un esempio è il comando “ifconfigg” al posto di “ifconfig”: se l’attaccante ha pubblicato un pacchetto con il nome con il typo, verrà proposto il suo e l’utente difficilmente si accorgerà dell’errore.
Un altro metodo è sfruttare i nomi Snap non rivendicati che gli utenti si aspettano che esistano, perché spesso corrispondono a comandi o alias noti.
Lo Store Snap prevede che i comandi dei pacchetti seguano il formato <snap name>.<application name>
; per evitare conflitti tra Snap che espongono lo stesso nome dell’applicazione. Se il nome dello Snap è uguale a quello dell’applicazione, il comando viene semplificato a <snap name>
.
Se uno sviluppatore vuole che il proprio Snap corrisponda a un comando che si discosta dal formato <nome snap>.<nome applicazione>
e che non sia <nome snap>
, deve richiedere un alias. Poiché il nome registrato è solo un alias e non il nome ufficiale dello Snap, il nome effettivo del pacchetto può essere utilizzato; ciò significa che un utente malintenzionato potrebbe registrare il nome Snap corrispondente, “impersonando” così il comando con il suo pacchetto.
I ricercatori fanno l’esempio del comando errato tarquingui
, per il quale il pacchetto command-not-found
consiglia di installare lo Snap tarquin
. tarquingui
non corrisponde esattamente al nome dello Snap, il che indica che tarquingui
è un alias per quello Snap. Visto però che un alias non equivale a una” prenotazione” del nome dello Snap, questo permette a un attaccante di registrare il nome tarquingui
e pubblicare il proprio pacchetto con quel nome.
“Un attaccante potrebbe esaminare sistematicamente tutti gli alias di comando attraverso l’API dello Snap Store per identificare qualsiasi alias il cui nome di snap sia ancora disponibile” spiegano i ricercatori. “Una volta trovato, potrebbe registrare un nuovo snap con quel nome, sfruttando l’opportunità per ingannare gli utenti e fargli installare un pacchetto dannoso”.
Infine, un terzo metodo di attacco prevede la registrazione di pacchetti Snap anche per nomi di pacchetti APT legittimi, in modo che command-not-found
suggerisca entrambi.
Il report di Aqua Security si concentra su Ubuntu, ma il problema colpisce qualsiasi distribuzione Linux che utilizza command-not-found
e il sistema di pacchetti Snap. Secondo i ricercatori, oggi il 26% dei comandi può essere sfruttato per distribuire pacchetti malevoli.
Al momento non è chiaro quanto effettivamente gli attaccanti abbiano sfruttato la vulnerabilità, ma ci sono stati almeno due casi documentati. Il problema, sottolinea il team di Aqua Security, è che i cybercriminali possono potenzialmente sfruttare centinaia di comandi relativi ai pacchetti più diffusi usando il trucco dell’alias.
Per proteggersi dalla minaccia è importante verificare la fonte di ogni pacchetto prima di installarlo, controllando anche i mantainer del progetto. Gli sviluppatori di pacchetti Snap con alias dovrebbero immediatamente registrare il nome corrispondente per prevenire eventuali abusi del nome; infine, anche gli sviluppatori di pacchetti APT dovrebbero registrare il nome snap associato per i loro comandi.
Nov 19, 2024 0
Nov 13, 2024 0
Ott 16, 2024 0
Set 25, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 18, 2024 0
Nov 15, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...Nov 15, 2024 0
La sicurezza dei toolkit ML continua a essere minacciata...