“Command-not-found” di Ubuntu può essere usato per distribuire malware

Feb 16, 2024 Hacking, In evidenza, Minacce, News, RSS

I ricercatori di Aqua Security hanno individuato una vulnerabilità che nasce dall’interazione tra il package command-not-found di Ubuntu e lo Snap package repository che consente a un attaccante di ingannare la vittima e farle installare pacchetti malevoli.

Il command-not-found viene usato per consigliare all’utente dei pacchetti quando digita un comando bash o zsh non disponibile sul sistema. Il pacchetto suggerisce sia package APT che Snap e, in caso il comando digitato corrisponda a pacchetti di entrambi, li consiglia tutti e due.

Nel caso di pacchetti Snap, command-not-found sfrutta il comando snap advise-snap per accedere al database sempre aggiornato di pacchetti disponibili sullo Store Snap e seleziona quelli che corrispondono o sono simili al comando digitato. Gli attaccanti possono usare questo meccanismo per pubblicare il proprio pacchetto malevolo e fare in modo che venga proposto all’utente.

Al contrario dello store APT, la pubblicazione di pacchetti Snap è molto più semplice perché il processo di review dello store è piuttosto lasco; ciò consente ai cybercriminali di aggiungere il proprio pacchetto al database Snap senza particolari problemi.

Command-not-found e i pacchetti malevoli

Gli attaccanti hanno diversi modi per fare in modo che all’utente venga proposto il pacchetto malevolo. Il primo trucco, il più semplice, consiste nell’usare gli errori di battitura più comuni dei comandi per puntare ai propri pacchetti. Un esempio è il comando “ifconfigg” al posto di “ifconfig”: se l’attaccante ha pubblicato un pacchetto con il nome con il typo, verrà proposto il suo e l’utente difficilmente si accorgerà dell’errore.

Un altro metodo è sfruttare i nomi Snap non rivendicati che gli utenti si aspettano che esistano, perché spesso corrispondono a comandi o alias noti.

Lo Store Snap prevede che i comandi dei pacchetti seguano il formato <snap name>.<application name>; per evitare conflitti tra Snap che espongono lo stesso nome dell’applicazione. Se il nome dello Snap è uguale a quello dell’applicazione, il comando viene semplificato a <snap name>.

Se uno sviluppatore vuole che il proprio Snap corrisponda a un comando che si discosta dal formato <nome snap>.<nome applicazione> e che non sia <nome snap>, deve richiedere un alias. Poiché il nome registrato è solo un alias e non il nome ufficiale dello Snap, il nome effettivo del pacchetto può essere utilizzato; ciò significa che un utente malintenzionato potrebbe registrare il nome Snap corrispondente, “impersonando” così il comando con il suo pacchetto.

I ricercatori fanno l’esempio del comando errato tarquingui, per il quale il pacchetto command-not-found consiglia di installare lo Snap tarquin. tarquingui non corrisponde esattamente al nome dello Snap, il che indica che tarquingui è un alias per quello Snap. Visto però che un alias non equivale a una” prenotazione” del nome dello Snap, questo permette a un attaccante di registrare il nome tarquingui e pubblicare il proprio pacchetto con quel nome.

“Un attaccante potrebbe esaminare sistematicamente tutti gli alias di comando attraverso l’API dello Snap Store per identificare qualsiasi alias il cui nome di snap sia ancora disponibile” spiegano i ricercatori. “Una volta trovato, potrebbe registrare un nuovo snap con quel nome, sfruttando l’opportunità per ingannare gli utenti e fargli installare un pacchetto dannoso”.

Infine, un terzo metodo di attacco prevede la registrazione di pacchetti Snap anche per nomi di pacchetti APT legittimi, in modo che command-not-found suggerisca entrambi.

Quanto è grave il problema?

Il report di Aqua Security si concentra su Ubuntu, ma il problema colpisce qualsiasi distribuzione Linux che utilizza command-not-found e il sistema di pacchetti Snap. Secondo i ricercatori, oggi il 26% dei comandi può essere sfruttato per distribuire pacchetti malevoli.

Al momento non è chiaro quanto effettivamente gli attaccanti abbiano sfruttato la vulnerabilità, ma ci sono stati almeno due casi documentati. Il problema, sottolinea il team di Aqua Security, è che i cybercriminali possono potenzialmente sfruttare centinaia di comandi relativi ai pacchetti più diffusi usando il trucco dell’alias.

Per proteggersi dalla minaccia è importante verificare la fonte di ogni pacchetto prima di installarlo, controllando anche i mantainer del progetto. Gli sviluppatori di pacchetti Snap con alias dovrebbero immediatamente registrare il nome corrispondente per prevenire eventuali abusi del nome; infine, anche gli sviluppatori di pacchetti APT dovrebbero registrare il nome snap associato per i loro comandi.

• Aqua Security, command-not-found, Linux, Ubuntu