Ubuntu の “Command-Not-Found” ユーティリティの悪用:悪意のパッケージをインストールする可能性

Abusing The Ubuntu ‘Command-Not-Found’ Utility To Install Malicious Packages

2024/02/14 SecurityAffairs — クラウドセキュリティ企業 Aqua のサイバー・セキュリティ研究者が発見したのは、一般的なユーティリティ “command-not-found”‘” の悪用により、悪意のパッケージの欺瞞的な推奨につながる可能性である。Aqua Nautilus の研究者たちは、「Ubuntu の “command-not-found” パッケージと “snap” パッケージの、リポジトリ間における相互作用に起因する、セキュリティ問題を特定した。”command-not-found” は、アンインストールされたコマンドのインストールを提案する便利なツールとして機能するが、”snap” リポジトリを介した操作により、悪意のパッケージの欺瞞的な推奨につながる」と述べている。

Ubuntu のデフォルト・インストールには “command-not-found” パッケージが含まれており、Bash や Zsh においてシステムで利用できないコマンドを、ユーザーが実行する際に、それらのパッケージのインストールを提案する。このコマンドは、認識できないコマンドに遭遇したときに Bash が呼び出す、”command_not_found_handle” 関数の実装に依存している。

このパッケージは、APT (Advanced Package Tool) と “snap” パッケージの両方に対する推奨を提供する。たとえば、ユーザーが実行しようとする “ifconfig” がインストールされていない場合には、このパッケージは APT を通して “net-tools” をインストールすることを推奨する。

このユーティリティは、”/var/lib/command-not-found/commands.db” にあるローカル・データベースを使用して、対応する APT パッケージに、対象となるコマンドをリンクする。メンテナにより、まだ Snap 名が要求されていないパッケージに関連付けられる Snap 名を、攻撃者が要求する可能性もある。そして攻撃者は、Snap 名を登録し、ダミーの “不正” パッケージをアップロードできる。

Aqua のアドバイザリには、「”jupyter-notebook” APT パッケージのメンテナたちは、対応する Snap 名を要求していなかった。この見落としにより、攻撃者による Snap 名の要求が可能となり、”jupyter-notebook” という名前の悪意の Snap をアップロードする機会を生み出した。”command-not-found” ユーティリティが、オリジナルの APT パッケージよりも先に、Snap パッケージを提案していることを観察できる。この動作により、ユーザーは誤解して、Snap パッケージをインストールする可能性がある」と記されている。

command-not-found package attack


さらに研究者たちは、APT (Advanced Package Tool) パッケージにリンクされたコマンドの最大 26% が、なりすましにさらされる可能性があることを発見した。この脆弱性は、Linux ユーザーと WSL を実行しているWindowsシステムの両方に影響を与え、サプライチェーン攻撃にユーザーをさらす可能性がある。

研究者たちは、タイプミスのあるコマンド (例:ifconfig に対する ifconfigg) を要求する攻撃者が、悪意の Snap パッケージを提案する、typosquatting 攻撃についても警告している。

彼らは、「たとえば、ユーザーが誤って ifconfig の代わりに ifconfigg と入力した場合に、何が起こるかを考えてみよう。”command-not-found” パッケージはユーザーの入力ミスを親切に修正し、タイプミスした “ifconfig”コマンドに対して、”net-tools” パッケージを提案する。しかし、攻撃者が “ifconfigg” のようなタイプミスのある Snap を登録していると、このようなミスが問題となる」と指摘している。

攻撃者が不正な Snap パッケージを提案することで、”command-not-found” ユーティリティが悪用される可能性がある。それは、とても懸念すべきことである。

Aqua は、「これらの機能が、どの程度の範囲で悪用されているのかは、現時点では不明である。警戒を強めること、そして、積極的な防御戦略を取ることが急務である」と結論付けている。

Ubuntu の “Command-Not-Found” ユーティリティに関連する、悪意のパッケージへの誘導という複雑な話です。このような問題は、このブログでも初登場なので、慎重に訳しましたが、ちょっと心配です。この悪意のパッケージという問題は、OSS の根幹である信頼を揺るがす、大きな問題となっています。今回は、Aqua が頑張ってくれたようですが、この種の問題などに対処していくには、ひとつひとつ対応していく他に、方法はないと思います。