Van descobrir que poden introduir paquets maliciosos a AUR mitjançant dominis caducats

Darkcrizt

4 minuts

vulnerabilitat

Si s'exploten, aquestes falles poden permetre als atacants obtenir accés no autoritzat a informació confidencial o, en general, causar problemes

Fa poc van donar a conèixer mitjançant una publicació de bloc els resultats d'un experiment, en el qual demostren com es pot prendre el control de els paquets al repositori AUR.

Per als que desconeixen d'AUR (Arch User Repository), han de saber que aquest és un repositori de programari per a Arch Linux. Es diferencia dels repositoris oficials d'Arch Linux, ja que en aquest els seus paquets són proporcionats pels seus usuaris i Arch Linux no els admet oficialment.

AUR és utilitzat per desenvolupadors externs per distribuir els vostres paquets sense estar inclosos en els repositoris principals de la distribució Arch Linux.

En aquest, es va realitzar una investigació a causa de la manca de suport, que és més una característica que un error, ja que permet que AUR contingui paquets que són difícils de suportar (per exemple, a causa de problemes de llicència) o que només són utilitzats per un grapat d'usuaris.

No obstant això, la manca de suport també significa menys control de qualitat, cosa que permet als mals actors introduir paquets maliciosos. Per advertir els usuaris d'aquest risc, AUR té un gran descàrrec de responsabilitat a la pàgina principal (una llegenda que molts ignoren o simplement desconeixen):

ESCÀRREC DE RESPONSABILITAT: Els paquets AUR són contingut produït per l'usuari. Qualsevol ús dels fitxers proporcionats és sota el seu propi risc.

Sobre l'experiment realitzat, els investigadors van preparar un script que comprova la caducitat del registre dels dominis que apareixen als fitxers PKGBUILD i SRCINFO. L'execució d'aquest script va identificar 14 dominis caducats utilitzats a 20 paquets de càrrega de fitxers.

Amb això, van poder identificar que hi ha diverses maneres d'introduir un paquet maliciós (o canvis maliciosos en un paquet legítim) a AUR. Per exemple, convertint-se en el mantenidor de paquets orfes (és a dir, paquets que ja no són compatibles amb els seus mantenidors anteriors) o escrivint noms de paquets populars.

Una altra opció és trobar paquets que utilitzin URL amb dominis caducats durant el procés de creació, registrar el domini i allotjar fitxers maliciosos. Quants dels paquets són vulnerables a aquest atac? Esbrinarem!

S'esmenta que el procés no és tan simple com es pogués tenir en compte, ja no n'hi ha prou simplement registrar un domini, ja que això no és suficient per falsificar el paquet, ja que el contingut descarregat es compara amb la suma de verificació ja carregada en AUR. No obstant això, els mantenidors del voltant del 35% dels paquets a AUR semblen utilitzar el paràmetre «SKIP» al fitxer PKGBUILD per ometre la verificació de la suma de control (per exemple, especifiqueu sha256sums=('SKIP')). Dels 20 paquets amb dominis vençuts, a 4 es va utilitzar el paràmetre SKIP.

Per demostrar la possibilitat de cometre un atac, els investigadors van comprar el domini d´un dels paquets que no verifiquen les sumes de verificació i van col·locar un fitxer amb el codi i un script d'instal·lació modificat.

Malauradament, no hi ha una forma estandarditzada de verificar si un domini està disponible. Les respostes WHOIS dels TLD més populars contenen alguna cosa com «No coincideix amb el domini» per als dominis disponibles, però això no és cert per a tots els TLD. Un bon primer pas és filtrar qualsevol domini que tingui un Aconjunt de registres DNS, ja que aquests dominis (el més probable) encara estaran en ús. Per fer ràpidament moltes sol·licituds de DNS, fem servir blechschmidt/massdns . Aquesta és una gran eina que ens permet resoldre milers de dominis en segons

En lloc del contingut real, s'ha afegit a l'script una advertència sobre l'execució de codi de tercers. Un intent d'instal·lar el paquet va conduir a la descàrrega de fitxers falsificats i, atès que no es va verificar la suma de verificació, a la instal·lació i execució exitoses del codi agregat pels experimentadors.

Finalment s'esmenta que el segrest de paquets AUR no és un concepte nou, ja que el segrest de paquets AUR sempre ha estat possible (de múltiples maneres) i és un risc conegut.

si estàs interessat a poder conèixer més sobre això, Pots consultar els detalls en el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   ric va dir
    fa 1 any

    gràcies per l'avís

    Respondre a richo