Aqua Security scopre un exploit di sicurezza in Snap
Image by neo tam from Pixabay |
I ricercatori di Aqua Nautilus Security Research Team hanno identificato un problema di sicurezza che deriva dall’interazione tra il pacchetto command-not-found di Ubuntu e il repository di pacchetti snap.
Lo strumento command-not-found può essere inavvertitamente manipolato dagli aggressori attraverso il repository snap, portando a raccomandazioni ingannevoli di pacchetti dannosi.
Inoltre, la nostra ricerca svolta da Aqua Nautilus indica che ben il 26% dei comandi associati ai pacchetti APT (Advanced Package Tool) sono vulnerabili all’impersonificazione da parte di attori malintenzionati. Questo problema potrebbe aprire la strada ad attacchi alla catena di distribuzione che colpiscono gli utenti Linux e Windows con WSL.
Il rischio che gli aggressori sfruttino l’utility command-not-found per raccomandare i propri pacchetti snap dannosi è un problema pressante. Il vero pericolo risiede nella portata potenziale di questo problema, in quanto gli aggressori sono in grado di imitare migliaia di comandi di pacchetti ampiamente utilizzati. I casi passati di pacchetti dannosi apparsi nello Snap Store evidenziano questo problema.
Non è ancora certo quanto queste capacità siano state sfruttate, il che sottolinea l’urgenza di una maggiore vigilanza e di strategie di difesa proattive.
Aqua Security ci da anche alcuni suggerimenti su come proteggerci da queste minacce: gli utenti e i manutentori di pacchetti dovrebbero adottare diverse misure preventive:
- Gli utenti dovrebbero verificare la fonte di un pacchetto prima dell’installazione, controllando la credibilità dei manutentori e la piattaforma raccomandata (se snap o APT).
- Gli sviluppatori di Snap con un alias dovrebbero registrare tempestivamente il nome corrispondente se è in linea con la loro applicazione per evitare abusi.
- Gli sviluppatori di pacchetti APT sono incoraggiati a registrare il nome snap associato per i loro comandi, mettendoli preventivamente al sicuro da potenziali impersonificazioni da parte di malintenzionati.
- I clienti Aqua possono bloccare l’esecuzione di APT e snap nei carichi di lavoro containerizzati. Le soluzioni di runtime possono rilevare il comportamento dannoso derivante dallo sfruttamento di questo problema.
Per maggiori dettagli sull’exploit vi rimando al blog di Aqua Security.