Vulnerabilidad crítica en Linux APT GET en distribuciones como Debian, Ubuntu o Mint

Ransomware afecta a repositorios y servidores Linux

APT, uno de los programas de instalación de software principales de Linux, presenta una grave falla de seguridad

Los usuarios que desean instalar programas en distribuciones de Linux como Debian, Ubuntu o Mint, usualmente recurren al uso del programa de instalación de software principal conocido como Advance Package Tool (APT). Aunque es funcional bajo las circunstancias apropiadas, expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de un método para desplegar un ataque Man-in-the-Middle en ATP.  

Por si no fuera suficiente, los encargados de esta investigación creen que el vacío de seguridad permitiría a un atacante ejecutar código arbitrario en cualquier sistema que instale cualquier paquete.

Acorde a expertos en seguridad en redes, APT es una interfaz para el sistema de empaquetado dpkg. Por otra parte, un sistema de empaquetado es una base de datos de ‘paquetes’ que los archivos requieren instalar para que un programa, Firefox, por ejemplo, se ejecute. Con APT se pueden encontrar e instalar nuevos programas, actualizar programas, eliminar programas y actualizar bases de datos dbkg locales.

Todo suena bien hasta ahora, pero los problemas están por comenzar. Cuando APT instala un nuevo programa o actualiza uno ya instalado, no verifica si existen problemas con el identificador uniforme de recursos (URI) solicitado por un paquete. En su lugar, APT se limita a comparar los hashes de seguridad PGP devueltos por la respuesta URI Done con los valores del paquete firmado. Dado que el atacante controla los hash reportados, puede manipularlos para hacer que un paquete malicioso parezca legítimo.

En una alerta de seguridad, Ubuntu menciona: “a partir de la versión 0.8.15, APT decodifica las URL de destino de las redirecciones, pero no comprueba si hay nuevas líneas, lo que permite a un atacatne MiTM inyectar encabezados arbitrarios en el resultado devuelto. Si la URL incrusta los hashes del supuesto archivo, se puede utilizar para deshabilitar cualquier validación del archivo descargado, ya que los hashes falsos se incluirán delante de los hashes correctos”, concluye el aviso de la distribución de Linux.

Los investigadores demostraron que podían colocar un .deb malicioso en un sistema de destino utilizando el archivo Release.gpg. Este archivo siempre se extrae durante la actualización de APT y generalmente se instala en una ubicación predecible, comentan expertos en seguridad en redes.

Por su parte, Yves-Alexis Pérez, miembro del equipo de seguridad de Debian, declaró: “Esta vulnerabilidad podría ser explotada usando un ataque Man-in-the-Middle entre APT y un espejo para inyectar contenido malicioso en la conexión HTTP. Este contenido luego podría ser reconocido como un paquete válido por APT para ser finalmente utilizado para laejecución de código con privilegios de raíz en el sistema comprometido”.  

Los parches de actualización para Debian y Ubuntu ya se encuentran disponibles, en tanto que la distro Mint ha mencionado que sus parches estarán listos a la brevedad.

Esta vulnerabilidad no debería presentar problemas a los usuarios en tanto actualicen sus sistemas pertinentemente. Se recomienda instalar las actualizaciones a la brevedad, pues es altamente probable que esta vulnerabilidad sea explotada en escenarios reales, comentan expertos en ciberseguridad.