Linux APT中的严重缺陷可允许黑客远程入侵

Linux APT中的严重缺陷可允许黑客远程入侵

两款流行的Linux发行版在其主程序包管理界面中存在一个远程代码执行漏洞(CVE-2019-3462),攻击者可以使用该漏洞诱骗用户安装恶意程序,以此在目标计算机上获取root访问权限。

该漏洞存在于APT管理器中,这是一款适用于Unix和Linux系统的应用程序管理器,它负责处理Debian、Ubuntu和其他Linux发行版上软件的下载、安装、更新和卸载。安全研究员Max Justicz于2019年1月22日发现了APT中的一个漏洞,涉及实用程序在安装过程中处理重定向的方式。一旦遭到滥用,网络犯罪分子可以利用该方式来获取目标计算机上的root权限。

漏洞已通过更新版本暂时修复

Debian和Ubuntu的几个版本容易受到基于此漏洞的恶意攻击,目前,这两款发行版的维护人员都发布了更新版本来修复这个漏洞。受此漏洞影响的版本包括:

Ubuntu 18.10;

Ubuntu 18.04 LTS;

Ubuntu 16.04 LTS;

Ubuntu 14.04 LTS。

而Debian 1.4.9是该发行版的修复更新版本。

如果用户担心在更新过程中被利用,可以通过在更新时禁用HTTP重定向来保护自己,请运行:

$ sudo apt update -o Acquire::http::AllowRedirect=false

$ sudo apt upgrade -o Acquire::http::AllowRedirect=false

漏洞概念攻击

根据Justicz发布的博客文章,“HTTP传输方法中,负责处理HTTP重定向的代码没有正确清理通过线路传输的字段。这个漏洞很可能被某些位于APT和镜像之间的中间人攻击者利用,在HTTP连接中注入恶意内容,”Max Justicz表示,“这一恶意内容可被APT识别为有效软件包,随后可在目标计算机上使用root权限执行代码。”

Justicz提出了一种概念操作方法,即位于中间人位置的攻击者可以使用这种技术在易受攻击的Debian系统上安装恶意软件包。这一过程依赖于特定文件安装在已知位置的事实。尽管Justicz尚未测试,但他认为该漏洞会影响所有软件包的下载,即使是第一次安装软件包或更新旧软件包也是如此。

Linux APT中的严重缺陷可允许黑客远程入侵

中间人攻击概念演示(视频地址:https://youtu.be/n_X6ajYuARY)

“在概念证明中,因为我选择立即注入201 URI Done响应,所以我不得不面临这样一个事实:没有实际下载任何恶意软件包。我需要一种方法将恶意.deb放到系统上,以便在Filename参数中使用,”Justicz解释道。

Linux APT中的严重缺陷可允许黑客远程入侵

“我想到了这样一种情况:即APT更新期间提取的Release.gpg文件可修改并安装在一个可预测的位置。具体来说,Release.gpg包含ASCII-armored PGP签名……但是APT的签名验证过程完全没问题,即使该文件中存在其他垃圾文件,只要不接触签名即可。我截获了Release.gpg的响应,并在前面加上了恶意deb。”

Linux APT中的严重缺陷可允许黑客远程入侵

能够利用此漏洞的基本问题之一是默认情况下通过HTTP(而不是HTTPS)提供程序包的更新服务器。尽管合法软件包本身已签名,但具有特权网络位置的攻击者可能会利用Justicz发现的这一漏洞,而其他类似漏洞则会将恶意软件包发送到受害者的计算机上。Justicz建议维护人员使用HTTPS作为更新版本的默认传输机制,某种程度上帮助防御这些攻击。最后Justicz提醒说,即使使用https也不能保证安全,恶意镜像仍然可以利用像这样的漏洞。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134325.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code