Siber güvenlik araştırmacıları, tehdit aktörlerinin kendi hileli paketlerini önermek ve Ubuntu işletim sistemini çalıştıran sistemleri tehlikeye atmak için command-not-found adlı iyi bilinen bir yardımcı programdan yararlanmasının mümkün olduğunu buldu.
Bulut güvenlik firması Aqua, bir raporda şunları söyledi: “‘Komut bulunamadı’, kaldırılan komutlar için kurulum önermek için kullanışlı bir araç olarak hizmet etse de, saldırganlar tarafından snap deposu aracılığıyla yanlışlıkla manipüle edilebilir ve bu da kötü amaçlı paketlere ilişkin yanıltıcı önerilere yol açabilir.” The Hacker News ile paylaşıldı.
Ubuntu sistemlerinde varsayılan olarak yüklenen command-not-found, mevcut olmayan komutları çalıştırmayı denediğinizde etkileşimli bash oturumlarında kurulacak paketleri önerir. Öneriler hem Gelişmiş Paketleme Aracını (APT) hem de ek paketleri içerir.
Araç, APT paketleri önermek için dahili bir veritabanı (“/var/lib/command-not-found/commands.db”) kullandığında, verilen komutu sağlayan anlık görüntüleri önermek için “advise-snap” komutuna güvenir.
Bu nedenle, bir saldırganın bu sistemle oynaması ve kötü amaçlı paketinin ‘komut bulunamadı’ paketi tarafından önerilmesi durumunda, yazılım tedarik zinciri saldırılarının önünü açabilir.
Aqua, takma ad mekanizmasının tehdit aktörü tarafından potansiyel olarak bir takma adla ilişkili ilgili ek adı kaydetmek ve kullanıcıları kötü amaçlı paketi yüklemeleri için kandırmak için kullanılabileceği potansiyel bir boşluk bulduğunu söyledi.
Dahası, bir saldırgan, bir APT paketiyle ilgili ek adını talep edebilir ve kötü amaçlı bir ek yükleyebilir; bu, daha sonra kullanıcı, terminalinde komutu yazdığında önerilmiş olur.
Aqua, “‘jupyter-notebook’ APT paketinin koruyucuları ilgili ek adı talep etmemişti” dedi. “Bu dikkatsizlik, bir saldırganın bunu talep etmesi ve ‘jupyter-notebook’ adlı kötü amaçlı bir snap yüklemesi için bir fırsat penceresi bıraktı.”
Daha da kötüsü, komut bulunamadı yardımcı programı jupyter-notebook için yasal APT paketinin üzerinde ek paket önererek kullanıcıları sahte ek paket yüklemeye yönlendiriyor.
Aqua, APT paketi komutlarının yüzde 26’sının kötü niyetli aktörler tarafından taklit edilmeye karşı savunmasız olduğunu ve bunların bir saldırganın hesabına kaydedilebileceği için önemli bir güvenlik riski oluşturduğunu belirtti.
Üçüncü bir kategori, kullanıcılar tarafından yapılan yazım hatalarının (örneğin, ifconfig yerine ifconfigg), “ifconfigg” adıyla sahte bir paket kaydederek sahte ek paketler önermek için kullanıldığı yazım hatası saldırılarını içerir.
Aqua araştırmacıları, böyle bir durumda, command-not-found’un “yanlışlıkla onu bu yanlış komutla eşleştireceğini ve ‘net-tools’ önerisini tamamen atlayarak kötü niyetli snap’i önereceğini” açıkladı.
Sahte paketler önermek için komut bulunamadı yardımcı programının kötüye kullanılmasını acil bir sorun olarak tanımlayan şirket, kullanıcıları kurulumdan önce paketin kaynağını doğrulamaya ve bakımcıların güvenilirliğini kontrol etmeye çağırıyor.
APT ve ek paket geliştiricilerine, kötüye kullanılmalarını önlemek amacıyla komutları için ilgili ek adını kaydetmeleri de tavsiye edildi.
Aqua, “Bu yeteneklerin ne kadar kapsamlı bir şekilde kullanıldığı belirsizliğini koruyor, bu da daha fazla dikkat ve proaktif savunma stratejilerinin aciliyetinin altını çiziyor” dedi.