研究人员表示,黑客可以滥用Ubuntu的“未找到命令”软件包建议系统向用户传播恶意软件。攻击面相对较大,威胁者可以通过多种方式滥用该功能。
这是根据网络安全研究人员AquaNautilus的一份新报告得出的结论,该报告指出,当Ubuntu用户想要运行当前未安装在端点上的特定程序时,他们可以调出“未找到命令”实用程序并提出建议要安装的软件包。
这里的问题是无法知道建议的包是否是恶意的。该工具建议使用来自内部数据库的包以及来自SnapStore的经常更新的数据库来获取快照包。因此,从理论上讲,威胁行为者可以迫使系统向用户推荐恶意软件包。
研究人员进一步表示,滥用该工具的方法有三种。第一个是简单地将恶意快照发布到SnapStore,并希望审核过程不像高级打包工具(APT)软件包那样详细。Snap包可以发布为“严格”或“经典”,第一个包仅适用于沙箱,第二个包具有不受限制的访问权限,类似于APT包。据说,第二个是手动审查的,为成功隐藏恶意软件开辟了足够的空间。
第二种方法与第一种类似,由于命名系统中的漏洞,攻击者可以将恶意的snap包注册为合法的APT包,迫使该工具同时建议这两种方法。之后,受害者选择错误就只是一个机会问题了。
第三种方法涉及威胁行为者注册用户可能期望存在的无人认领的快照名称,通常是因为与已知命令存在潜在相似性。
研究人员表示:“如果开发人员希望他们的快照执行偏离<快照名称>.<应用程序名称>格式的命令,而不仅仅是<快照名称>,他们必须请求一个别名。”“此类请求会启动手动审核流程,对所请求的别名进行投票,以确保其与应用程序保持一致。”
AquaNautilus表示,四分之一(26%)的APT软件包命令可能被假冒,这对Linux和Linux用户的WIndows子系统来说都是一个主要的供应链风险。