Cybersicherheitsforscher haben herausgefunden, dass Bedrohungsakteure ein bekanntes Dienstprogramm namens „command-not-found“ ausnutzen können, um ihre eigenen schädlichen Pakete zu empfehlen und Systeme mit dem Ubuntu-Betriebssystem zu kompromittieren.
Laut einem Bericht des Cloud-Sicherheitsunternehmens Aqua, der The Hacker News vorliegt, dient „command-not-found“ als praktisches Werkzeug, um Installationen für nicht installierte Befehle vorzuschlagen. Es kann jedoch unbeabsichtigt von Angreifern durch das Snap-Repository manipuliert werden, was zu irreführenden Empfehlungen von bösartigen Paketen führt.
Das Tool „command-not-found“ ist standardmäßig auf Ubuntu-Systemen installiert und schlägt Pakete zur Installation in interaktiven Bash-Sitzungen vor, wenn versucht wird, Befehle auszuführen, die nicht verfügbar sind. Die Vorschläge umfassen sowohl das Advanced Packaging Tool (APT) als auch Snap-Pakete.
Wenn das Tool eine interne Datenbank („/var/lib/command-not-found/commands.db“) verwendet, um APT-Pakete vorzuschlagen, greift es auf den Befehl „advise-snap“ zurück, um Snaps vorzuschlagen, die den gegebenen Befehl bereitstellen.
Daher könnte ein Angreifer dieses System manipulieren und ihr bösartiges Paket über das Paket „command-not-found“ empfohlen bekommen, was den Weg für Angriffe auf die Software-Lieferkette ebnen könnte.
Aqua stellte eine potenzielle Sicherheitslücke fest, bei der der Alias-Mechanismus von Bedrohungsakteuren ausgenutzt werden kann, um den entsprechenden mit einem Alias verknüpften Snap-Namen zu registrieren und Benutzer dazu zu bringen, das schädliche Paket zu installieren.
Darüber hinaus könnte ein Angreifer den mit einem APT-Paket verbundenen Snap-Namen beanspruchen und einen schädlichen Snap hochladen, der dann vorgeschlagen wird, wenn ein Benutzer den Befehl in ihrem Terminal eingibt.
„Die verantwortlichen Maintainer des APT-Pakets ‚jupyter-notebook‘ hatten den entsprechenden Snap-Namen nicht beansprucht“, sagte Aqua. „Dieses Versäumnis ließ eine Gelegenheit für einen Angreifer, ihn zu beanspruchen und einen bösartigen Snap mit dem Namen ‚jupyter-notebook‘ hochzuladen.“
Zu allem Überfluss schlägt das Dienstprogramm „command-not-found“ das Snap-Paket über dem legitimen APT-Paket für jupyter-notebook vor und verleitet Benutzer dazu, das gefälschte Snap-Paket zu installieren.
Laut Aqua sind bis zu 26% der APT-Paketbefehle anfällig für einen Missbrauch durch bösartige Akteure, was ein erhebliches Sicherheitsrisiko darstellt, da sie unter dem Konto eines Angreifers registriert werden könnten.
Eine dritte Kategorie umfasst Typosquatting-Angriffe, bei denen Tippfehler von Benutzern (z. B. ifconfigg anstelle von ifconfig) genutzt werden, um falsche Snap-Pakete vorzuschlagen, indem ein betrügerisches Paket mit dem Namen „ifconfigg“ registriert wird.
In einem solchen Fall würde „command-not-found“ „es fälschlicherweise diesem falschen Befehl zuordnen und das bösartige Snap empfehlen, ohne die Empfehlung für ’net-tools‘ überhaupt zu berücksichtigen“, erklärten die Aqua-Forscher.
Angesichts des Missbrauchs des „command-not-found“ -Dienstprogramms zur Empfehlung gefälschter Pakete hat das Unternehmen Benutzer aufgefordert, die Quelle eines Pakets vor der Installation zu überprüfen und die Glaubwürdigkeit der Verantwortlichen zu überprüfen.
Entwicklern von APT- und Snap-Paketen wurde auch empfohlen, den zugehörigen Snap-Namen für ihre Befehle zu registrieren, um einen Missbrauch zu verhindern.
Aqua sagte: „Es bleibt ungewiss, inwieweit diese Möglichkeiten bereits ausgenutzt wurden, was die Dringlichkeit für erhöhte Wachsamkeit und proaktive Verteidigungsstrategien unterstreicht“.