Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Feb 16, 2024 Marina Londei Hacking, In evidenza, Minacce, News, RSS 0
I ricercatori di Aqua Security hanno individuato una vulnerabilità che nasce dall’interazione tra il package command-not-found di Ubuntu e lo Snap package repository che consente a un attaccante di ingannare la vittima e farle installare pacchetti malevoli.
Il command-not-found
viene usato per consigliare all’utente dei pacchetti quando digita un comando bash o zsh non disponibile sul sistema. Il pacchetto suggerisce sia package APT che Snap e, in caso il comando digitato corrisponda a pacchetti di entrambi, li consiglia tutti e due.
Nel caso di pacchetti Snap, command-not-found
sfrutta il comando snap advise-snap
per accedere al database sempre aggiornato di pacchetti disponibili sullo Store Snap e seleziona quelli che corrispondono o sono simili al comando digitato. Gli attaccanti possono usare questo meccanismo per pubblicare il proprio pacchetto malevolo e fare in modo che venga proposto all’utente.
Al contrario dello store APT, la pubblicazione di pacchetti Snap è molto più semplice perché il processo di review dello store è piuttosto lasco; ciò consente ai cybercriminali di aggiungere il proprio pacchetto al database Snap senza particolari problemi.
Gli attaccanti hanno diversi modi per fare in modo che all’utente venga proposto il pacchetto malevolo. Il primo trucco, il più semplice, consiste nell’usare gli errori di battitura più comuni dei comandi per puntare ai propri pacchetti. Un esempio è il comando “ifconfigg” al posto di “ifconfig”: se l’attaccante ha pubblicato un pacchetto con il nome con il typo, verrà proposto il suo e l’utente difficilmente si accorgerà dell’errore.
Un altro metodo è sfruttare i nomi Snap non rivendicati che gli utenti si aspettano che esistano, perché spesso corrispondono a comandi o alias noti.
Lo Store Snap prevede che i comandi dei pacchetti seguano il formato <snap name>.<application name>
; per evitare conflitti tra Snap che espongono lo stesso nome dell’applicazione. Se il nome dello Snap è uguale a quello dell’applicazione, il comando viene semplificato a <snap name>
.
Se uno sviluppatore vuole che il proprio Snap corrisponda a un comando che si discosta dal formato <nome snap>.<nome applicazione>
e che non sia <nome snap>
, deve richiedere un alias. Poiché il nome registrato è solo un alias e non il nome ufficiale dello Snap, il nome effettivo del pacchetto può essere utilizzato; ciò significa che un utente malintenzionato potrebbe registrare il nome Snap corrispondente, “impersonando” così il comando con il suo pacchetto.
I ricercatori fanno l’esempio del comando errato tarquingui
, per il quale il pacchetto command-not-found
consiglia di installare lo Snap tarquin
. tarquingui
non corrisponde esattamente al nome dello Snap, il che indica che tarquingui
è un alias per quello Snap. Visto però che un alias non equivale a una” prenotazione” del nome dello Snap, questo permette a un attaccante di registrare il nome tarquingui
e pubblicare il proprio pacchetto con quel nome.
“Un attaccante potrebbe esaminare sistematicamente tutti gli alias di comando attraverso l’API dello Snap Store per identificare qualsiasi alias il cui nome di snap sia ancora disponibile” spiegano i ricercatori. “Una volta trovato, potrebbe registrare un nuovo snap con quel nome, sfruttando l’opportunità per ingannare gli utenti e fargli installare un pacchetto dannoso”.
Infine, un terzo metodo di attacco prevede la registrazione di pacchetti Snap anche per nomi di pacchetti APT legittimi, in modo che command-not-found
suggerisca entrambi.
Il report di Aqua Security si concentra su Ubuntu, ma il problema colpisce qualsiasi distribuzione Linux che utilizza command-not-found
e il sistema di pacchetti Snap. Secondo i ricercatori, oggi il 26% dei comandi può essere sfruttato per distribuire pacchetti malevoli.
Al momento non è chiaro quanto effettivamente gli attaccanti abbiano sfruttato la vulnerabilità, ma ci sono stati almeno due casi documentati. Il problema, sottolinea il team di Aqua Security, è che i cybercriminali possono potenzialmente sfruttare centinaia di comandi relativi ai pacchetti più diffusi usando il trucco dell’alias.
Per proteggersi dalla minaccia è importante verificare la fonte di ogni pacchetto prima di installarlo, controllando anche i mantainer del progetto. Gli sviluppatori di pacchetti Snap con alias dovrebbero immediatamente registrare il nome corrispondente per prevenire eventuali abusi del nome; infine, anche gli sviluppatori di pacchetti APT dovrebbero registrare il nome snap associato per i loro comandi.
Mar 20, 2024 0
Mar 01, 2024 0
Feb 23, 2024 0
Gen 31, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...