Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

В своем исследовании Университет Аризоны проанализировал 10 самых популярных систем обновления программного обеспечения, в том числе APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast и YUM и все они оказались способны поставить под угрозу безопасность ОС и компьютеров.

Все эти пакеты изначально разрабатывались для того, что автоматически обновлять в системе программное обеспечение, избавляя администраторов от рутинных забот по установке и удалению обновлений. "Учитывая их важную роль в системах, эти разработки должны быть чрезвычайно безопасны, однако все они уязвимы", говорится в отчете.

Исследователи говорят, что разработанный ими метод атаки позволяет получить полный контроль над системой благодаря уязвимости, присутствующей во многих легитимных пакетах. Дело в том, что практически во всех пакетах цифровая подпись не имеет какого-либо ограничения по времени, а ряд ОС такую возможность даже не поддерживают.

"Это означает, что после того, как в каком-либо пакете была обнаружена уязвимость, клиенты все равно смогут установить уязвимое ПО из-за правильности самой подписи. Атакующий может абсолютно верно подписать пакеты или встроить метаднные из предыдущего релиза и без проблем установить злонамеренное ПО", - говорят разработчики метода.

Приведем пример: известно, что старые версии OpenSSL, в частности те что поставлялись с Debian Linux, содержат уязвимости, однако с точки зрения ОС эти пакеты абсолютно верны, так как верны их цифровые подписи. Соответственно, злоумышленник, создав подставной открытый сервер обновлений (зеркало), сможет при помощи подписей взаимодействовать с менеджерами обновлений.

При помощи эксплуатации старого , но подписанного файла и подставного зеркала с обновлениями можно легко внедрить злонамеренное ПО в систему.

"Создать подставной сервер обновлений совсем нетрудно. Мы арендовали у провайдера машину и бесплатно разместили на ней зеркала обновлений для дистрибутивов Ubuntu, Fedora, OpenSuse, CentOS и Debian. Судя по серверным журналам, подставным зеркалом воспользовались несколько тысяч пользователей, в том числе и из сетей, принадлежащих военным и правительственным органам", - говорят разработчики метода.

В краткосрочной перспективе администраторы могут защищать свои системы за счет использования только доверенных репозиториев, ручной инсталляции обновлений или используя метаданные от производителей ОС, а также связываясь с серверами обновлений по протоколу HTTPS. В долгосрочной перспективе авторы метода советуют внедрить в технологии цифровой подписи ПО функцию истечения срока действия подписи.