WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Linux APT tồn tại lỗ hổng thực thi mã từ xa nghiêm trọng
Một lỗ hổng thực thi mã từ xa nghiêm trọng trong Linux APT vừa được tiết lộ. Việc khai thác có thể được giảm thiểu nếu trình quản lý tải xuống phần mềm sử dụng HTTPS một cách nghiêm ngặt.
Được phát hiện bởi Max Justicz, lỗ hổng (CVE-2019-3462) nằm trong trình quản lý gói tin APT, một tiện ích được sử dụng rộng rãi để xử lý cài đặt, cập nhật và xóa phần mềm trên Debian, Ubuntu và các bản phân phối Linux khác.
Theo một bài đăng của Justicz trên blog, các phiên bản APT bị ảnh hưởng không xử lý đúng cách các tham số nhất định trong quá trình chuyển hướng HTTP, cho phép kẻ tấn công man-in-the-middle từ xa tiêm nội dung độc hại và lừa hệ thống cài đặt các gói tin bị thay đổi.
Chuyển hướng HTTP trong khi sử dụng lệnh apt-get giúp các máy Linux tự động yêu cầu gói tin từ một máy chủ (mirror server) phù hợp khi không có sẵn các máy chủ khác. Nếu máy chủ đầu tiên không thực hiện được, nó sẽ trả về phản hồi với vị trí của máy chủ tiếp theo để máy khách gửi yêu cầu gói tin.
Như nhà nghiên cứu đã minh họa trong video, kẻ tấn công chặn lưu lượng HTTP giữa tiện ích APT và máy chủ, có thể thực thi mã tùy ý trên hệ thống mục tiêu với đặc quyền cao nhất, tức là quyền root.
"Bạn hoàn toàn có thể thay thế gói tin được yêu cầu. Bạn cũng có thể thay thế bằng gói đã sửa đổi, nếu muốn".
Mặc dù chưa thử nghiệm, Justicz tin rằng lỗ hổng này ảnh hưởng đến tất cả các lần tải xuống gói tin, ngay cả khi bạn đang cài đặt gói lần đầu tiên hoặc cập nhật gói cũ.
Không còn nghi ngờ gì nữa, để bảo vệ tính toàn vẹn của các gói phần mềm, điều quan trọng là sử dụng xác minh dựa trên chữ ký, vì các nhà phát triển phần mềm không có quyền kiểm soát máy chủ. Đồng thời, việc triển khai HTTPS có thể ngăn chặn khai thác sau khi phát hiện ra lỗ hổng.
Không có phần mềm, nền tảng hoặc sever nào có thể bảo mật 100%, vì vậy mọi lớp bảo vệ nếu có thể là tốt nhất.
"Theo mặc định, cả Debian và Ubuntu đều sử dụng các kho lưu trữ http đơn giản (Debian cho phép bạn chọn máy chủ mong muốn trong khi cài đặt, nhưng không thực sự hỗ trợ kho lưu trữ https - trước tiên bạn phải cài đặt apt-transport-https)", nhà nghiên cứu giải thích.
"Hỗ trợ http thì ổn. Tôi chỉ nghĩ rằng các kho lưu trữ https nên là mặc định và người dùng nên được phép downgrade chính sách an ninh của mình vào thời điểm sau này nếu muốn”.
Các nhà phát triển của APT đã phát hành phiên bản 1.4.9 nhằm giải quyết vấn đề.
Do APT đang được sử dụng bởi nhiều bản phân phối Linux lớn bao gồm Debian và Ubuntu, cả hai cũng đã thừa nhận và phát hành các bản vá an ninh cho lỗ hổng. Người dùng Linux nên cập nhật hệ thống của họ càng sớm càng tốt.
Được phát hiện bởi Max Justicz, lỗ hổng (CVE-2019-3462) nằm trong trình quản lý gói tin APT, một tiện ích được sử dụng rộng rãi để xử lý cài đặt, cập nhật và xóa phần mềm trên Debian, Ubuntu và các bản phân phối Linux khác.
Theo một bài đăng của Justicz trên blog, các phiên bản APT bị ảnh hưởng không xử lý đúng cách các tham số nhất định trong quá trình chuyển hướng HTTP, cho phép kẻ tấn công man-in-the-middle từ xa tiêm nội dung độc hại và lừa hệ thống cài đặt các gói tin bị thay đổi.
Chuyển hướng HTTP trong khi sử dụng lệnh apt-get giúp các máy Linux tự động yêu cầu gói tin từ một máy chủ (mirror server) phù hợp khi không có sẵn các máy chủ khác. Nếu máy chủ đầu tiên không thực hiện được, nó sẽ trả về phản hồi với vị trí của máy chủ tiếp theo để máy khách gửi yêu cầu gói tin.
Như nhà nghiên cứu đã minh họa trong video, kẻ tấn công chặn lưu lượng HTTP giữa tiện ích APT và máy chủ, có thể thực thi mã tùy ý trên hệ thống mục tiêu với đặc quyền cao nhất, tức là quyền root.
"Bạn hoàn toàn có thể thay thế gói tin được yêu cầu. Bạn cũng có thể thay thế bằng gói đã sửa đổi, nếu muốn".
Mặc dù chưa thử nghiệm, Justicz tin rằng lỗ hổng này ảnh hưởng đến tất cả các lần tải xuống gói tin, ngay cả khi bạn đang cài đặt gói lần đầu tiên hoặc cập nhật gói cũ.
Không còn nghi ngờ gì nữa, để bảo vệ tính toàn vẹn của các gói phần mềm, điều quan trọng là sử dụng xác minh dựa trên chữ ký, vì các nhà phát triển phần mềm không có quyền kiểm soát máy chủ. Đồng thời, việc triển khai HTTPS có thể ngăn chặn khai thác sau khi phát hiện ra lỗ hổng.
Không có phần mềm, nền tảng hoặc sever nào có thể bảo mật 100%, vì vậy mọi lớp bảo vệ nếu có thể là tốt nhất.
"Theo mặc định, cả Debian và Ubuntu đều sử dụng các kho lưu trữ http đơn giản (Debian cho phép bạn chọn máy chủ mong muốn trong khi cài đặt, nhưng không thực sự hỗ trợ kho lưu trữ https - trước tiên bạn phải cài đặt apt-transport-https)", nhà nghiên cứu giải thích.
"Hỗ trợ http thì ổn. Tôi chỉ nghĩ rằng các kho lưu trữ https nên là mặc định và người dùng nên được phép downgrade chính sách an ninh của mình vào thời điểm sau này nếu muốn”.
Các nhà phát triển của APT đã phát hành phiên bản 1.4.9 nhằm giải quyết vấn đề.
Do APT đang được sử dụng bởi nhiều bản phân phối Linux lớn bao gồm Debian và Ubuntu, cả hai cũng đã thừa nhận và phát hành các bản vá an ninh cho lỗ hổng. Người dùng Linux nên cập nhật hệ thống của họ càng sớm càng tốt.
Theo The Hacker News
Chỉnh sửa lần cuối: