Falha crítica de RCE no Linux APT permite que invasores remotos invadam sistemas

Bem na hora … quando alguns especialistas em cibersegurança nesta semana estiveram brigando pelo Twitter em favor de não usar HTTPS e sugerindo que os desenvolvedores de software dependessem apenas da verificação de pacotes baseada em assinaturas apenas porque o APT no Linux também faz o mesmo, um pesquisador revelou detalhes de um falha crítica de execução remota de código para um cenário semelhante que poderia ter sido atenuado se o APT estivesse usando estritamente o HTTPS para se comunicar com segurança.

Descoberto pelo pesquisador de segurança Max Justicz, a vulnerabilidade (CVE-2019-3462) reside no gerenciador de pacotes APT, um utilitário amplamente utilizado que lida com a instalação, atualização e remoção de software no Debian, Ubuntu e outras distribuições Linux.

De acordo com uma postagem no blog publicada pela Justicz, as versões vulneráveis ​​do APT não sanitizam certos parâmetros durante os redirecionamentos HTTP, permitindo que um invasor intermediário injete conteúdo malicioso e engane o sistema para instalar pacotes alterados.

Redirecionamentos HTTP ao usar o comando apt-get ajudam as máquinas Linux a solicitar pacotes automaticamente a partir de um servidor espelho apropriado quando outros não estão disponíveis. Se o primeiro servidor falhar, ele retornará uma resposta com a localização do próximo servidor de onde o cliente deve solicitar o pacote.

“Infelizmente, o processo do buscador HTTP URL decodifica o cabeçalho HTTP Location e o anexa cegamente à resposta do 103 Redirect”, explica Justicz.Como demonstrado pelo pesquisador em uma demonstração em vídeo, um invasor que intercepta o tráfego HTTP entre o utilitário APT e um servidor espelho, ou apenas um espelho malicioso, poderia executar código arbitrário no sistema alvo com o nível mais alto de privilégios, ou seja, raiz, disse Justicz.

“Você pode substituir completamente o pacote solicitado, como na minha prova de conceito. Você poderia substituir um pacote modificado também, se quisesse”, disse Justicz à THN.Embora Justicz não tenha testado, ele acredita que a vulnerabilidade afeta todos os downloads de pacotes, mesmo se você estiver instalando um pacote pela primeira vez ou atualizando um pacote antigo.

Sem dúvida, para proteger a integridade dos pacotes de software, é importante usar a verificação baseada em assinatura, pois os desenvolvedores de software não têm controle sobre servidores espelho, mas, ao mesmo tempo, a implementação do HTTPS pode impedir a exploração ativa após a descoberta dessas vulnerabilidades.

Nenhum software, plataforma ou servidor pode ser 100% seguro, portanto, ter todo o possível depois da segurança nunca é uma má ideia.
“Por padrão, o Debian e o Ubuntu usam repositórios HTTP simples e prontos para uso (o Debian permite que você escolha qual espelho você deseja durante a instalação, mas não fornece suporte a repositórios https – você precisa instalar o apt-transport-https primeiro ), explica o pesquisador.”Suportar o http é bom. Eu apenas acho que vale a pena fazer dos repositórios https o padrão – o padrão mais seguro – e permitir que os usuários façam o downgrade de sua segurança mais tarde, se optarem por fazê-lo.”Os desenvolvedores do APT lançaram a versão 1.4.9 que trata do problema.

Como o APT está sendo usado por muitas distribuições importantes do Linux, incluindo o Debian e o Ubuntu , que também reconheceram e lançaram patches de segurança para a vulnerabilidade, é altamente recomendável que os usuários do Linux atualizem seus sistemas o mais rápido possível.

Fonte TheHackerNews