Спецпроекты

Компьютер под Linux можно захватить с помощью популярного архиватора

Безопасность Администратору Пользователю Техника

Ошибка Path Traversal в утилите ARK для среды KDE приводит к возможности распаковывать произвольные файлы в произвольных каталогах. Таким образом можно поменять настройки автозапуска для локального пользователя и запустить любой вредонос.

Другого нет у нас пути?

В архивационной утилите ARK, распространяемой вместе со средой рабочего стола KDE под Linux, выявлена серьёзная уязвимость, позволяющая перезаписывать файлы или выполнять код на компьютерах потенциальных жертв, сообщает издание Bleeping Computer. Для этого достаточно будет каким-то образом заставить жертву скачать и развернуть вредоносный архив.

Популярная графическая среда KDE поддерживается дистрибутивами OpenSUSE, Kali, KUbuntu и многими другими. Архиватор ARK - ее штатное средство для сжатия файлов. Он используется не только в KDE, его версии присутствуют практически во всех дистрибутивах Linux.

Как выяснил Доминик Пеннер (Dominik Penner), эксперт по безопасности некоммерческой организации Hackers for Change, в ARK существует уязвимость класса Path traversal (обход пути), благодаря которой злоумышленники могут производить целый ряд вредоносных действий на машинах жертв. В частности, есть возможность создавать новые средства автозапуска для шифровальщиков, а также устанавливать криптомайнеры или RAT-бэкдоры.

Среда KDE позволяет автоматических запускать определённые приложения сразу после логина пользователя в систему. Для этого используются специальные файлы .desktop в каталоге ~/.config/autostart.

linux1600.jpg
Ошибка в архиваторе ARK позволяет запустить любую вредоносную программу в ОС Linux

Как выяснил Пеннер, архиватор ARK при расшифровке не производил надлежащую проверку пути в названиях файлов, так что была возможность создавать архивы (tar, gzip, bzip2, rar, zip), которые могли распаковывать файлы в любой каталог - при наличии у текущего пользователя доступа к нему.

Соответственно, довольно легко было обеспечить запись произвольного файла в каталог автозапуска, так что при следующей загрузке и входе пользователя в систему, автоматических запускалось любой приложение, вызов которого прописан в этом файле.

Срочное обновление

Эксплуатация уязвимости чрезвычайно проста - при условии, что злоумышленник знает точное размещение каталогов на машине потенциальной жертвы.

«Path traversal - очень распространённая ошибка - вернее, даже, проявление неаккуратности; её эксплуатации, однако, может привести к крайне печальным последствиям, - отмечает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. - Обновления выпущены и затягивать с их установкой категорически не рекомендуется: слишком легко эксплуатировать эту проблему. Достаточно умелой социальной инженерии».

Пеннер сообщил разработчикам KDE о проблеме 20 июня, и в свежей версии ARK 20.08.0 «баг» уже отсутствует. Обновлённую версию рекомендуется установить всем пользователям Linux.