L’Aqua Nautilus Security Research Team scopre un exploit di sicurezza in Snap
L’Aqua Nautilus Security Research Team scopre un exploit di sicurezza in Snap e in un articolo sul proprio blog il ricercatore Ilay Goldman descrive in dettaglio i risultati.
I ricercatori di Aqua Nautilus Security Research Team hanno identificato un problema di sicurezza che deriva dall’interazione tra l’azione conseguente alla risposta command not found (comando non trovato) di Ubuntu e il repository di pacchetti Snap.
Quando provi a eseguire un comando relativo ad un pacchetto che non hai installato, Ubuntu mostrerà un errore command not found se il nome fornito si riferisce ad un comando inesistente. Ad esempio sbagliando a digitare il nome del comando o nel caso che effettivamente il comando si riferisca a un pacchetto non installato. Ma, nel tentativo di aiutare, suggerisce anche i pacchetti necessari per eseguire il comando mancante e vengono mostrati suggerimenti per i pacchetti DEB pertinenti disponibili per l’installazione dai repository Ubuntu (interrogati su un database locale) e dai pacchetti Snap (interrogati da un database sullo Snap Store che viene aggiornato spesso in modo che le nuove app appaiano come raccomandazioni). Ed è questa utile funzione che i ricercatori di sicurezza dicono sia aperta alla manipolazione da parte di malintenzionati che utilizzano app Snap.
L’azione conseguente alla risposta command not found può essere inavvertitamente manipolato dagli aggressori attraverso il repository Snap, portando a raccomandazioni ingannevoli di pacchetti dannosi.
Inoltre, la ricerca svolta dal Aqua Nautilus Security Research Team indica che ben il 26% dei comandi associati ai pacchetti APT (Advanced Package Tool) sono vulnerabili all’impersonificazione da parte di attori malintenzionati. Questo problema potrebbe aprire la strada ad attacchi alla catena di distribuzione che colpiscono gli utenti Linux e Windows con WSL.
Il rischio che gli aggressori sfruttino la risposta conseguente al command not found per raccomandare i propri pacchetti Snap dannosi è un problema impellente. Il vero pericolo risiede nella portata potenziale di questo problema, in quanto gli aggressori sono in grado di imitare migliaia di comandi di pacchetti ampiamente utilizzati. I casi passati di pacchetti dannosi apparsi nello Snap Store evidenziano questo problema.
Non è ancora certo quanto queste capacità siano state sfruttate, il che sottolinea l’urgenza di una maggiore vigilanza e di strategie di difesa proattive.
Aqua Security ci da anche alcuni suggerimenti su come proteggerci da queste minacce: gli utenti e i manutentori di pacchetti dovrebbero adottare diverse misure preventive:
- Gli utenti dovrebbero verificare la fonte di un pacchetto prima dell’installazione, controllando la credibilità dei manutentori e la piattaforma raccomandata (se Snap o APT).
- Gli sviluppatori di Snap con un alias dovrebbero registrare tempestivamente il nome corrispondente se è in linea con la loro applicazione per evitare abusi.
- Gli sviluppatori di pacchetti APT sono incoraggiati a registrare il nome Snap associato per i loro comandi, mettendoli preventivamente al sicuro da potenziali impersonificazioni da parte di malintenzionati.
- I clienti di Aqua possono bloccare l’esecuzione di APT e Snap nei carichi di lavoro containerizzati. Le soluzioni di runtime possono rilevare il comportamento dannoso derivante dallo sfruttamento di questo problema.
Per maggiori dettagli sull’exploit vi rimando al blog di Aqua Security.
Fonte: https://www.aquasec.com/blog/snap-trap-the-hidden-dangers-within-ubuntus-package-suggestion-system/
Fonte: https://www.omgubuntu.co.uk/2024/02/security-researchers-detail-ubuntu-security-flaw
Fonte: https://www.linuxconsultant.org/security-experts-warn-of-snap-trap-exploit-in-ubuntu/
Fonte: https://www.marcosbox.org/2024/02/aqua-security-scopre-exploit-snap.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
