Los expertos en ciberseguridad han revelado que los actores malintencionados pueden aprovechar una utilidad conocida llamada “comando-no-encontrado” para promover sus propios paquetes maliciosos y comprometer sistemas que utilizan el sistema operativo Ubuntu.
Aunque “comando-no-encontrado” tiene la función de ser una herramienta útil al sugerir instalaciones para comandos no instalados, los atacantes pueden manipularla de manera inadvertida a través del repositorio instantáneo, dando lugar a recomendaciones engañosas de paquetes maliciosos, según un informe de la firma de seguridad en la nube Aqua, compartido con The Hacker News.
Esta utilidad está preinstalada en los sistemas Ubuntu y sugiere paquetes para instalación en sesiones interactivas de bash cuando se intenta ejecutar comandos que no están disponibles. Las recomendaciones abarcan tanto la herramienta de empaquetado avanzado (APT) como los paquetes instantáneos.
Cuando la herramienta utiliza una base de datos interna (“/var/lib/command-not-found/commands.db”) para sugerir paquetes APT, se basa en el comando “advisar-snap” para sugerir instantáneas que proporcionen el comando especificado.
Por lo tanto, si un atacante lograra manipular este sistema y su paquete malicioso fuera recomendado por el paquete “comando-no-encontrado”, se abriría la puerta para posibles ataques a la cadena de suministro de software.
Aqua señaló una posible laguna legal donde el actor malintencionado podría aprovechar el mecanismo de alias para registrar el nombre instantáneo correspondiente asociado con un alias, engañando así a los usuarios para que instalen el paquete malicioso.
Adicionalmente, un atacante podría reclamar el nombre del complemento relacionado con un paquete APT y cargar un complemento malicioso, que posteriormente sería sugerido cuando un usuario escriba el comando en su terminal. Este escenario podría dar lugar a una potencial amenaza a la integridad de la cadena de suministro de software.
Los responsables del mantenimiento del paquete APT ‘jupyter-notebook’ no habían reclamado el nombre correspondiente”, indicó Aqua. “Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un complemento malicioso llamado ‘jupyter-notebook'”.
Para empeorar la situación, la herramienta “comando-no-encontrado” sugiere el paquete snap en lugar del legítimo paquete APT para ‘jupyter-notebook’, engañando a los usuarios para que instalen el paquete snap falso.
Aqua señaló que hasta un 26% de los comandos del paquete APT podrían ser vulnerables a la suplantación por parte de actores maliciosos, lo que representa un riesgo de seguridad significativo, ya que podrían registrarse en la cuenta de un atacante.
Una tercera categoría involucra ataques tipográficos, donde los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes snap falsos registrando un paquete fraudulento con el nombre “ifconfigg.
En tal caso, el comando no encontrado “lo relacionaría por error con este comando incorrecto y recomendaría el complemento malicioso, evitando por completo la sugerencia de ‘herramientas de red'”, explicaron los investigadores de Aqua.
Al describir el abuso de la utilidad comando no encontrado para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar el origen de un paquete antes de la instalación y verificar la credibilidad de sus mantenedores.
También se ha recomendado a los desarrolladores de APT y paquetes snap que registren el nombre del snap asociado a sus comandos para evitar un mal uso.
“Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas”, dijo Aqua.