Otkrili su da mogu uvesti zlonamjerne pakete u AUR preko domena koje su istekle

Nedavno su objavili putem objave na blogu rezultate eksperimenta u kojem pokažite kako možete preuzeti kontrolu pakete u spremištu AUR.

Za one koji nisu svjesni AUR-a (Arch User Repository), trebali bi znati da je to softversko spremište za Arch Linux. Razlikuje se od zvaničnih Arch Linux repozitorija, jer u ovom njegove pakete obezbeđuju njegovi korisnici i Arch Linux ih zvanično ne podržava.

AUR koriste programeri trećih strana da distribuirate svoje pakete bez uključivanja u glavna Arch Linux distributivna spremišta.

U ovome, istraga je sprovedena zbog nedostatka podrške, što je više karakteristika nego greška, jer dozvoljava AUR-u da sadrži pakete koje je teško podržati (npr. zbog problema s licenciranjem) ili ih koristi samo nekoliko korisnika.

Međutim, nedostatak podrške znači i manju kontrolu kvaliteta, dozvoljavajući lošim akterima da uvedu zlonamjerne pakete. Kako bi upozorio korisnike na ovaj rizik, AUR ima veliku izjavu o odricanju odgovornosti na glavnoj stranici (legenda koju mnogi ignoriraju ili jednostavno nisu svjesni):

ODRICANJE OD ODGOVORNOSTI: AUR paketi su sadržaj koji proizvodi korisnik. Svako korištenje dostavljenih datoteka je na vlastitu odgovornost.

Što se tiče sprovedenog eksperimenta, istraživači su pripremili skriptu koja provjerava isteka registracije domena koji se pojavljuju u datotekama PKGBUILD i SRCINFO. Pokretanjem ove skripte identifikovano je 14 domena sa isteklim rokom upotrebe u 20 paketa za otpremanje datoteka.

S tim, uspjeli smo identificirati da postoji nekoliko načina za uvođenje zlonamjernog paketa (ili zlonamjerne promjene legitimnog paketa) u AUR-u. Na primjer, postaje održavatelj paketa bez roditelja (tj. paketi koje njihovi prethodni održavaoci više ne podržavaju) ili upisivanjem popularnih naziva paketa.

Druga opcija je da pronađete pakete koji koriste URL-ove sa isteklim domenima tokom procesa kreiranja, registrujete domen i hostujete zlonamerne fajlove. Koliko je paketa ranjivo na takav napad? Saznajmo!

To se spominje Proces nije tako jednostavan kao što se misli. Samo registracija domene više nije dovoljna, jer to nije dovoljno za lažiranje paketa, jer se preuzeti sadržaj upoređuje sa kontrolnom sumom koja je već učitana u AUR. Međutim, čini se da održavaoci oko 35% paketa u AUR-u koriste parametar "SKIP" u datoteci PKGBUILD da bi preskočili provjeru kontrolne sume (na primjer, navedite sha256sums=('SKIP')). Od 20 paketa sa isteklim domenima, parametar SKIP je korišten u 4.

Da pokaže mogućnost izvršiti napad, istraživači su kupili domenu jednog od paketa koji ne provjeravaju sume verifikaciju i postavio fajl sa kodom i modifikovanom instalacionom skriptom.

Nažalost, ne postoji standardizirani način da provjerite da li je domena dostupna. WHOIS odgovori za najpopularnije TLD-ove sadrže nešto poput "domena koja se ne podudara" za dostupne domene, ali to nije istina za sve TLD-ove. Dobar prvi korak je filtriranje svih domena koji imaju skup DNS zapisa, jer će ti domeni (najvjerovatnije) i dalje biti u upotrebi. Da bismo brzo napravili mnoge DNS zahtjeve, koristimo blechschmidt/massdns. Ovo je odličan alat koji nam omogućava da riješimo hiljade domena u sekundi.

Umjesto stvarnog sadržaja, u skriptu je dodano upozorenje o izvršavanju koda treće strane. Pokušaj instaliranja paketa doveo je do preuzimanja lažnih fajlova i, pošto kontrolni zbroj nije verifikovan, do uspešne instalacije i izvršenja koda koji su dodali eksperimentatori.

Konačno spominje se da otmica AUR paketa nije nov koncept, jer je otmica AUR paketa uvijek bila moguća (na više načina) i predstavlja poznat rizik.

Naps zainteresovani da saznaju više o tome, možete provjeriti detalje Na sledećem linku.