彼らは、期限切れのドメインを介して悪意のあるパッケージを AUR に導入できることを発見しました

Darkcrizt

4分

脆弱性

これらの欠陥が悪用されると、攻撃者は機密情報に不正にアクセスしたり、一般的に問題を引き起こしたりする可能性があります

彼らは最近、ブログ投稿を通じて知られるようになりました 実験結果 その中で コントロールできる方法を示す リポジトリ内のパッケージ AUR。

AUR (Arch User Repository) を知らない人は、これが Arch Linux のソフトウェア リポジトリ。 公式の Arch Linux リポジトリとは異なります。これは、このリポジトリではパッケージがユーザーによって提供され、Arch Linux が公式にサポートしていないためです。

AUR はサードパーティの開発者によって使用されています メインの Arch Linux ディストリビューション リポジトリに含めずにパッケージを配布します。

この中で、サポート不足のため調査が行われましたが、 これはバグというよりも機能です。 サポートが難しいパッケージを AUR に含めることができます (たとえば、ライセンスの問題のため) または少数のユーザーによってのみ使用されます。

ただし、サポートの欠如は品質管理の低下も意味し、悪意のある人物が悪意のあるパッケージを導入することを可能にします. このリスクをユーザーに警告するために、AUR はメイン ページに大きな免責事項を記載しています (多くの人が無視しているか、単に気付いていない伝説です)。

免責事項: AUR パッケージはユーザーが作成したコンテンツです。 提供されたファイルの使用は、自己責任で行ってください。

行った実験に関しては、 研究者は、ドメイン登録の有効期限をチェックするスクリプトを用意しました PKGBUILD および SRCINFO ファイルに表示されます。 このスクリプトを実行すると、14 個のファイル アップロード パッケージで使用されている 20 個の期限切れドメインが特定されました。

これで、 悪意のあるパッケージを導入する方法がいくつかあることを特定できました (または正当なパッケージへの悪意のある変更) が AUR に含まれています。 例えば、 孤立したパッケージのメンテナになる (つまり、以前のメンテナーによってサポートされなくなったパッケージ) または一般的なパッケージ名を入力することによって。

もう XNUMX つのオプションは、作成プロセス中に期限切れのドメインを持つ URL を使用するパッケージを見つけ、ドメインを登録し、悪意のあるファイルをホストすることです。 このような攻撃に対して脆弱なパケットはいくつありますか? 確認してみましょう!

と言われています このプロセスは、人が考えるほど単純ではありません。 ダウンロードされたコンテンツは、AUR に既にロードされているチェックサムと比較されるため、単にドメインを登録するだけでは、パケットを偽装するのに十分ではありません。 ただし、AUR のパッケージの約 35% のメンテナーは、PKGBUILD ファイルで「SKIP」パラメーターを使用してチェックサム チェックをスキップしているようです (たとえば、sha256sums=('SKIP') を指定します)。 ドメインの有効期限が切れた 20 個のパッケージのうち、4 個で SKIP パラメータが使用されました。

可能性を示すために 攻撃を仕掛け、 研究者は、合計をチェックしないパッケージの XNUMX つのドメインを購入しました。 検証し、コードと変更されたインストール スクリプトを含むファイルを配置しました。

残念ながら、ドメインが利用可能かどうかを確認する標準化された方法はありません。 最も人気のある TLD の WHOIS 応答には、利用可能なドメインの「ドメインが一致しません」などの内容が含まれていますが、これはすべての TLD に当てはまるわけではありません。 最初のステップとして、DNS レコード セットを持つドメインを除外することをお勧めします。これらのドメインは (ほとんどの場合) まだ使用されているためです。 多くの DNS リクエストをすばやく作成するために、blechschmidt/massdns を使用します。 これは、何千ものドメインを数秒で解決できる優れたツールです。

実際のコンテンツの代わりに、サードパーティ コードの実行に関する警告がスクリプトに追加されています。 パッケージをインストールしようとすると、なりすましファイルがダウンロードされ、チェックサムが検証されなかったため、実験者によって追加されたコードのインストールと実行が成功しました。

最後に AUR パケット ハイジャックは新しい概念ではないことが言及されていますAUR パケットのハイジャックは常に (複数の方法で) 可能であり、既知のリスクであるためです。

もしあなたが それについてもっと知りたい、詳細を確認できます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   リコー
    HACE 1年

    警告をありがとう

    richoに返信する