Специалисты американского университета (штат Аризона) сообщили об обнаружении уязвимости в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.
Такой метод не требует получения паролей в систему или особых манипуляций по обходу механизмов безопасности. Вместо этого, он использует саму систему распространения бесплатного и открытого программного обеспечения.
Вместе с тем, исследователи проанализировали 10 самых популярных систем обновления программного обеспечения, в том числе APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast и YUM и все они оказались способны поставить под угрозу безопасность ОС и компьютеров.
Изначально все эти пакеты разрабатывались для автоматического обновления в системе программного обеспечения, избавляя администраторов от рутинных забот по установке и удалению обновлений. “Учитывая их важную роль в системах, эти разработки должны быть чрезвычайно безопасны, однако все они уязвимы”, говорится в отчете.
Специалисты отметили, что полученный метод атаки позволяет получить полный контроль над системой благодаря уязвимости, присутствующей во многих легитимных пакетах. Дело в том, что практически во всех пакетах цифровая подпись не имеет какого-либо ограничения по времени, а ряд ОС такую возможность даже не поддерживают.
“Это означает, что после того, как в каком-либо пакете была обнаружена уязвимость, клиенты все равно смогут установить уязвимое ПО из-за правильности самой подписи. Атакующий может абсолютно верно подписать пакеты или встроить метаднные из предыдущего релиза и без проблем установить злонамеренное ПО”, – говорят разработчики метода.
К примеру, старые версии OpenSSL, а именно те, что поставлялись с Debian Linux, имеют уязвимости, однако с точки зрения ОС такие пакеты абсолютно верны, поскольку верны их цифровые подписи.
“Создать подставной сервер обновлений совсем нетрудно. Мы арендовали у провайдера машину и бесплатно разместили на ней зеркала обновлений для дистрибутивов Ubuntu, Fedora, OpenSuse, CentOS и Debian. Судя по серверным журналам, подставным зеркалом воспользовались несколько тысяч пользователей, в том числе и из сетей, принадлежащих военным и правительственным органам”, – говорят разработчики метода.
В скором времени администраторам представится возможность защищать свои системы посредством использования лишь доверенных репозиториев, ручной инсталляции обновлений или используя метаданные от производителей ОС. В дальнейшем разработчики советуют внедрить в технологии цифровой подписи ПО функцию истечения срока действия подписи.
