Les chercheurs en cybersécurité ont découvert qu’il est possible pour les acteurs malveillants d’exploiter un utilitaire bien connu appelé command-not-found pour recommander leurs propres packages malveillants et compromettre les systèmes exécutant le système d’exploitation Ubuntu.
« Bien que ‘command-not-found’ soit un outil pratique pour suggérer l’installation de commandes désinstallées, il peut être manipulé par inadvertance par des attaquants via le référentiel Snap, conduisant à des recommandations trompeuses de packages malveillants », a déclaré la société de sécurité cloud Aqua dans un communiqué. rapport partagé avec The Hacker News.
Installé par défaut sur les systèmes Ubuntu, commande introuvable suggère packages à installer dans des sessions bash interactives lorsque vous tentez d’exécuter des commandes qui ne sont pas disponibles. Les suggestions incluent à la fois l’outil Advanced Packaging Tool (APTE) et paquets instantanés.
Lorsque l’outil utilise une base de données interne (« /var/lib/command-not-found/commands.db ») pour suggérer des packages APT, il s’appuie sur le « conseiller-instantané » pour suggérer des clichés qui fournissent la commande donnée.
Ainsi, si un attaquant est capable de jouer avec ce système et de faire en sorte que son paquet malveillant recommandé par le package command-not-found, il pourrait ouvrir la voie à des attaques contre la chaîne d’approvisionnement logicielle.
Aqua a déclaré avoir découvert une faille potentielle dans laquelle le mécanisme d’alias pourrait être exploité par l’acteur malveillant pour potentiellement enregistrer le nom instantané correspondant associé à un alias et inciter les utilisateurs à installer le package malveillant.
De plus, un attaquant pourrait revendiquer le nom du snap associé à un package APT et télécharger un snap malveillant, qui finirait ensuite par être suggéré lorsqu’un utilisateur tape la commande sur son terminal.
« Les responsables du package APT ‘jupyter-notebook’ n’avaient pas revendiqué le nom instantané correspondant », a déclaré Aqua. « Cet oubli a laissé une fenêtre d’opportunité à un attaquant pour le revendiquer et télécharger un snap malveillant nommé ‘jupyter-notebook’. »
Pour aggraver les choses, l’utilitaire command-not-found suggère le package snap au-dessus du package APT légitime pour jupyter-notebook, induisant ainsi les utilisateurs en erreur en les incitant à installer le faux package snap.
Selon Aqua, jusqu’à 26 % des commandes du package APT sont vulnérables à l’usurpation d’identité par des acteurs malveillants, ce qui présente un risque de sécurité important, car elles pourraient être enregistrées sous le compte d’un attaquant.
Une troisième catégorie concerne les attaques de typosquatting dans lesquelles les erreurs typographiques commises par les utilisateurs (par exemple, ifconfigg au lieu de ifconfig) sont exploitées pour suggérer de faux packages snap en enregistrant un package frauduleux sous le nom « ifconfigg ».
Dans un tel cas, command-not-found « la ferait correspondre par erreur à cette commande incorrecte et recommanderait le snap malveillant, contournant complètement la suggestion de » net-tools « », ont expliqué les chercheurs d’Aqua.
Décrivant l’abus de l’utilitaire command-not-found pour recommander des paquets contrefaits comme une préoccupation urgente, la société exhorte les utilisateurs à vérifier la source d’un paquet avant l’installation et à vérifier la crédibilité des responsables.
Il a également été conseillé aux développeurs d’APT et de packages Snap d’enregistrer le nom Snap associé à leurs commandes afin d’éviter toute utilisation abusive.
« Il reste incertain dans quelle mesure ces capacités ont été exploitées, ce qui souligne l’urgence d’une vigilance accrue et de stratégies de défense proactives », a déclaré Aqua.