Jos näitä puutteita hyödynnetään, hyökkääjät voivat päästä luvattomasti arkaluontoisiin tietoihin tai aiheuttaa yleensä ongelmia
He tekivät äskettäin tunnetuksi blogikirjoituksen kautta kokeen tulokset jossa näytä kuinka voit hallita paketit arkistossa AUR
Niiden, jotka eivät ole tietoisia AUR:sta (Arch User Repository), heidän pitäisi tietää, että tämä on ohjelmistovarasto Arch Linuxille. Se eroaa virallisista Arch Linux -varastoista, koska tässä paketit ovat sen käyttäjien toimittamia, eikä Arch Linux virallisesti tue niitä.
Kolmannen osapuolen kehittäjät käyttävät AUR:ää jakaa pakettejasi ilman, että ne sisällytetään Arch Linux -jakeluvarastoihin.
Tässä, tutkinta suoritettiin tuen puutteen vuoksi, joka on enemmän ominaisuus kuin bugi, koska sallii AUR:n sisältää paketteja, joita on vaikea tukea (esim. lisenssiongelmien vuoksi) tai niitä käyttää vain kourallinen käyttäjiä.
Tuen puute tarkoittaa kuitenkin myös vähemmän laadunvalvontaa, jolloin huonot toimijat voivat ottaa käyttöön haitallisia paketteja. Varoittaakseen käyttäjiä tästä riskistä AUR:n pääsivulla on valtava vastuuvapauslauseke (legenda, jonka monet jättävät huomiotta tai eivät yksinkertaisesti tiedä):
VASTUUVAPAUSLAUSEKE: AUR-paketit ovat käyttäjien tuottamaa sisältöä. Kaikki toimitettujen tiedostojen käyttö on omalla vastuullasi.
Mitä tulee suoritettuun kokeeseen, tutkijat valmistivat skriptin, joka tarkistaa verkkotunnuksen rekisteröinnin vanhenemisen jotka näkyvät PKGBUILD- ja SRCINFO-tiedostoissa. Tämän skriptin suorittaminen tunnisti 14 vanhentunutta verkkotunnusta, joita käytettiin 20 tiedostojen latauspaketissa.
Tämän avulla pystyivät tunnistamaan, että on olemassa useita tapoja ottaa käyttöön haitallinen paketti (tai haitalliset muutokset lailliseen pakettiin) AUR:ssa. Esimerkiksi, orpopakettien ylläpitäjäksi (eli paketit, joita aiemmat ylläpitäjät eivät enää tue) tai kirjoittamalla suosittuja pakettien nimiä.
Toinen vaihtoehto on löytää paketteja, jotka käyttävät URL-osoitteita vanhentuneella verkkotunnuksella luontiprosessinsa aikana, rekisteröidä toimialue ja isännöidä haitallisia tiedostoja. Kuinka monet paketeista ovat alttiita tällaiselle hyökkäykselle? Otetaan selvää!
Mainitaan se Prosessi ei ole niin yksinkertainen kuin voisi luulla. Pelkkä verkkotunnuksen rekisteröinti ei enää riitä, sillä se ei riitä paketin huijaamiseen, sillä ladattua sisältöä verrataan AUR:iin jo ladattuihin tarkistussummaan. Noin 35 % AUR:n paketeista ylläpitäjät näyttävät kuitenkin käyttävän PKGBUILD-tiedoston "SKIP"-parametria tarkistussummatarkistuksen ohittamiseen (määritä esimerkiksi sha256sums=('SKIP')). Niistä 20 paketista, joissa oli vanhentuneita verkkotunnuksia, SKIP-parametria käytettiin neljässä.
Näytä mahdollisuus tehdä hyökkäys, tutkijat ostivat yhden paketin verkkotunnuksen, joka ei tarkista summia vahvistuksen ja asetti tiedoston koodin ja muokatun asennuskomentosarjan kanssa.
Valitettavasti ei ole standardoitua tapaa tarkistaa, onko verkkotunnus käytettävissä. Suosituimpien aluetunnusten WHOIS-vastaukset sisältävät esimerkiksi "verkkotunnusta ei täsmää" käytettävissä oleville verkkotunnuksille, mutta tämä ei pidä paikkaansa kaikkien aluetunnusten kohdalla. Hyvä ensimmäinen askel on suodattaa pois kaikki verkkotunnukset, joilla on DNS-tietuejoukko, koska kyseiset verkkotunnukset ovat (todennäköisimmin) edelleen käytössä. Jotta voimme tehdä nopeasti monia DNS-pyyntöjä, käytämme tiedostoa blechschmidt/massdns. Tämä on loistava työkalu, jonka avulla voimme ratkaista tuhansia verkkotunnuksia sekunneissa.
Varsinaisen sisällön sijaan komentosarjaan on lisätty varoitus kolmannen osapuolen koodin suorittamisesta. Paketin asennusyritys johti väärennettyjen tiedostojen lataamiseen ja koska tarkistussummaa ei varmennettu, kokeilijoiden lisäämän koodin onnistuneeseen asennukseen ja suorittamiseen.
Vihdoin mainitaan, että AUR-pakettien kaappaus ei ole uusi käsite, koska AUR-pakettien kaappaus on aina ollut mahdollista (monin tavoin) ja se on tunnettu riski.
Jos olet kiinnostunut tietämään asiasta lisää, voit tarkistaa yksityiskohdat Seuraavassa linkissä.
Kiitos varoituksesta