Jeśli zostaną wykorzystane, te luki mogą umożliwić atakującym uzyskanie nieautoryzowanego dostępu do poufnych informacji lub ogólnie spowodować problemy
Niedawno ogłosili za pośrednictwem posta na blogu, że wyniki eksperymentu w którym pokaż, jak możesz przejąć kontrolę pakiety w repozytorium AUR.
Dla tych, którzy nie wiedzą o AUR (Arch User Repository), powinni wiedzieć, że jest to repozytorium oprogramowania dla Arch Linux. Różni się od oficjalnych repozytoriów Arch Linux, ponieważ w tym jednym jego pakiety są dostarczane przez użytkowników, a Arch Linux oficjalnie ich nie obsługuje.
AUR jest używany przez zewnętrznych programistów do dystrybucji pakietów bez dołączania do głównych repozytoriów dystrybucji Arch Linux.
W tym, śledztwo zostało przeprowadzone z powodu braku wsparcia, co jest bardziej funkcją niż błędem, ponieważ pozwala AUR zawierać pakiety, które są trudne do obsługi (np. z powodu problemów licencyjnych) lub są używane tylko przez garstkę użytkowników.
Jednak brak wsparcia oznacza również mniejszą kontrolę jakości, co pozwala złym podmiotom na wprowadzanie złośliwych pakietów. Aby ostrzec użytkowników przed tym ryzykiem, AUR ma na stronie głównej ogromne zastrzeżenie (legenda, którą wielu ignoruje lub po prostu nie zdaje sobie z tego sprawy):
OŚWIADCZENIE: Pakiety AUR są treściami tworzonymi przez użytkowników. Jakiekolwiek użycie dostarczonych plików odbywa się na własne ryzyko.
W odniesieniu do przeprowadzonego eksperymentu, badacze przygotowali skrypt sprawdzający wygaśnięcie rejestracji domen które pojawiają się w plikach PKGBUILD i SRCINFO. Uruchomienie tego skryptu zidentyfikowało 14 wygasłych domen używanych w 20 pakietach przesyłania plików.
Z tym udało się zidentyfikować, że istnieje kilka sposobów na wprowadzenie złośliwego pakietu (lub złośliwe zmiany w legalnym pakiecie) w AUR. Na przykład, zostać opiekunem pakietów osieroconych (tj. pakiety, które nie są już wspierane przez ich poprzednich opiekunów) lub wpisując popularne nazwy pakietów.
Inną opcją jest znalezienie pakietów, które używają adresów URL z wygasłymi domenami podczas procesu ich tworzenia, zarejestrowanie domeny i hostowanie szkodliwych plików. Ile pakietów jest podatnych na taki atak? Dowiedzmy Się!
Wspomina się, że Proces nie jest tak prosty, jak mogłoby się wydawać. Samo zarejestrowanie domeny już nie wystarcza, ponieważ nie wystarczy, aby sfałszować pakiet, ponieważ pobrana zawartość jest porównywana z sumą kontrolną już załadowaną do AUR. Jednak opiekunowie około 35% pakietów w AUR wydają się używać parametru "SKIP" w pliku PKGBUILD, aby pominąć sprawdzanie sumy kontrolnej (na przykład, określić sha256sums=('SKIP')). Spośród 20 pakietów z wygasłymi domenami parametr SKIP został użyty w 4.
Aby pokazać możliwość dokonać ataku, badacze kupili domenę jednego z pakietów, które nie sprawdzają sum weryfikacji i umieścił plik z kodem oraz zmodyfikowanym skryptem instalacyjnym.
Niestety nie ma standardowego sposobu sprawdzenia, czy domena jest dostępna. Odpowiedzi WHOIS dla najpopularniejszych TLD zawierają coś w rodzaju „domena niedopasowana” dla dostępnych domen, ale nie dotyczy to wszystkich TLD. Dobrym pierwszym krokiem jest odfiltrowanie wszelkich domen, które mają zestaw rekordów DNS, ponieważ te domeny (najprawdopodobniej) będą nadal używane. Aby szybko wykonać wiele żądań DNS, używamy blechschmidt/massdns . To świetne narzędzie, które pozwala nam rozwiązać tysiące domen w kilka sekund.
Zamiast faktycznej treści do skryptu zostało dodane ostrzeżenie o wykonaniu kodu innej firmy. Próba zainstalowania pakietu doprowadziła do pobrania sfałszowanych plików, a ponieważ suma kontrolna nie została zweryfikowana, do pomyślnej instalacji i wykonania kodu dodanego przez eksperymentatorów.
W końcu wspomniano, że przechwytywanie pakietów AUR nie jest nową koncepcją, ponieważ przechwytywanie pakietów AUR zawsze było możliwe (na wiele sposobów) i stanowi znane ryzyko.
Jeżeli jesteś chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.
dzięki za ostrzeżenie