Pesquisadores de segurança cibernética da empresa de segurança em nuvem Aqua descobriram que é possível abusar do popular utilitário chamado de “comando não encontrado” que pode levar a recomendações enganosas de pacotes maliciosos em sistemas Ubuntu.
Comando não Encontrado pode ser usado para instalar pacotes maliciosos no Ubuntu
Os pesquisadores do Aqua Nautilus identificaram um problema de segurança que surge da interação entre o pacote de comando não encontrado do Ubuntu e o repositório de pacotes snap.
Embora o comando não encontrado sirva como uma ferramenta conveniente para sugerir instalações para comandos desinstalados, ele pode ser manipulado inadvertidamente por invasores por meio do repositório snap, levando a recomendações enganosas de pacotes maliciosos.
Aqua
A instalação padrão do Ubuntu inclui o pacote command-not-found (“comando não encontrado”), que fornece sugestões para instalações de pacotes quando os usuários tentam executar um comando em Bash ou Zsh que não está disponível em seu sistema. O comando depende da implementação da função command_not_found_handle, que o Bash invoca ao encontrar um comando não reconhecido.
O pacote fornece recomendações para pacotes APT e snap. Por exemplo, se um usuário tentar executar “ifconfig” e ele não estiver instalado, o pacote irá sugerir a instalação de “net-tools” através do apt.
O utilitário usa um banco de dados local localizado em /var/lib/command-not-found/commands.db para vincular comandos aos seus pacotes APT correspondentes.
A exploração do comando
Um invasor pode reivindicar um nome Snap associado a um pacote para o qual os mantenedores ainda não reivindicaram o nome Snap. Em seguida, o invasor pode registrar um nome instantâneo e fazer o upload de um pacote “não autorizado” fictício.
Os mantenedores do pacote APT jupyter-notebook não reivindicaram o nome snap correspondente. Esse descuido deixou uma janela de oportunidade para um invasor reivindicá-lo e enviar um snap malicioso chamado jupyter-notebook.
Podemos observar que o utilitário comando não encontrado sugere o pacote snap primeiro, antes mesmo do pacote APT original. Este comportamento pode potencialmente induzir os usuários a instalar o pacote snap.
Além disso, os pesquisadores descobriram que até 26% dos comandos vinculados a pacotes APT (Advanced Package Tool) podem estar expostos à representação. Esta vulnerabilidade pode expor os usuários a ataques à cadeia de suprimentos, afetando usuários Linux e sistemas Windows que executam WSL.
Os pesquisadores também alertam sobre ataques de typosquatting, nos quais invasores que solicitam comandos com erros tipográficos (por exemplo, ifconfigg em vez de ifconfig) recebem sugestões de pacotes snap maliciosos que foram reivindicados pelos invasores.
“O potencial para os invasores explorarem o utilitário de comando não encontrado, sugerindo seus pacotes Snap desonestos, é preocupante.