Los investigadores de ciberseguridad han descubierto que es posible que los actores de amenazas exploten una utilidad conocida llamada comando-not-found para recomendar sus propios paquetes maliciosos y comprometer sistemas que ejecutan el sistema operativo Ubuntu.
«Si bien ‘comando no encontrado’ sirve como una herramienta conveniente para sugerir instalaciones para comandos desinstalados, los atacantes pueden manipularlo inadvertidamente a través del repositorio instantáneo, lo que lleva a recomendaciones engañosas de paquetes maliciosos», dijo la firma de seguridad en la nube Aqua en un informe compartido con The Hacker News.
Instalado de forma predeterminada en sistemas Ubuntu, comando no encontrado sugiere paquetes para instalar en sesiones bash interactivas al intentar ejecutar comandos que no están disponibles. Las sugerencias incluyen tanto la herramienta de embalaje avanzada (APTO) y paquetes instantáneos.
Cuando la herramienta utiliza una base de datos interna («/var/lib/command-not-found/commands.db») para sugerir paquetes APT, se basa en «consejo rápido«comando para sugerir instantáneas que proporcionen el comando dado.
Por lo tanto, si un atacante pudiera jugar con este sistema y tener su paquete malicioso recomendado por el paquete comando-no encontrado, podría allanar el camino para ataques a la cadena de suministro de software.
Aqua dijo que encontró una posible laguna jurídica en la que el actor de amenazas puede explotar el mecanismo de alias para registrar potencialmente el nombre instantáneo correspondiente asociado con un alias y engañar a los usuarios para que instalen el paquete malicioso.
Es más, un atacante podría reclamar el nombre del complemento relacionado con un paquete APT y cargar un complemento malicioso, que luego termina siendo sugerido cuando un usuario escribe el comando en su terminal.
«Los mantenedores del paquete APT ‘jupyter-notebook’ no habían reclamado el nombre correspondiente», dijo Aqua. «Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un complemento malicioso llamado ‘jupyter-notebook'».
Para empeorar las cosas, la utilidad comando no encontrado sugiere el paquete snap encima del paquete APT legítimo para jupyter-notebook, engañando a los usuarios para que instalen el paquete snap falso.
Hasta el 26% de los comandos del paquete APT son vulnerables a la suplantación por parte de actores maliciosos, señaló Aqua, lo que presenta un riesgo de seguridad sustancial, ya que podrían registrarse en la cuenta de un atacante.
Una tercera categoría implica ataques tipográficos en los que los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes instantáneos falsos registrando un paquete fraudulento con el nombre «ifconfigg».
En tal caso, el comando no encontrado «lo relacionaría por error con este comando incorrecto y recomendaría el complemento malicioso, evitando por completo la sugerencia de ‘herramientas de red'», explicaron los investigadores de Aqua.
Al describir el abuso de la utilidad comando no encontrado para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar el origen de un paquete antes de la instalación y verificar la credibilidad de sus mantenedores.
También se ha recomendado a los desarrolladores de APT y paquetes snap que registren el nombre del snap asociado a sus comandos para evitar un mal uso.
«Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas», dijo Aqua.