El investigador de seguridad Max Justicz ha descubierto una vulnerabilidad que permite la ejecución remota de código en la utilidad apt-get del gestor de paquetes APT, usada por distribuciones basadas en Debian.
La falla, con identificador CVE-2019-3462, demuestra cómo si se usase HTTPS por parte de APT se podría evitar completamente este tipo de ataques.
El problema reside en la falta de comprobación de ciertos parámetros durante las redirecciones HTTP, permitiendo a un atacante en un escenario de hombre en el medio (MiTM) inyectar contenido malicioso en los paquetes descargados por APT y engañar así al sistema para que instale paquetes alterados.
Las redirecciones HTTP en este caso sirven para encontrar servidores espejos cercanos a la ubicación del cliente que solicita un paquete determinado. Si el primer servidor falla por alguna razón, devuelve una redirección con la localización del siguiente servidor que el cliente puede usar para la descarga.
El problema reside en el proceso de extracción de las URL. A la hora de decodificar la cabecera HTTP Location, se añade el código de respuesta 103 (indicando al cliente que el servidor enviará la respuesta final junto con las cabeceras incluidas).
En el siguiente video, se demuestra cómo el atacante intercepta el tráfico entre apt-get y el servidor espejo (o simplemente sólo un servidor espejo) para servir paquetes maliciosos y ejecutar código arbitrario como root.
Por defecto, Debian y Ubuntu usan repositorios HTTP. Para poder usar repositorios HTTPS se requiere la instalación del paquete apt-transport-https.
Para solucionar esta falla, se ha liberado la versión 1.4.9 de APT y como es habitual, se recomienda actualizar a la mayor brevedad posible.
Más información:
https://justi.cz/security/2019/01/22/apt-rce.html
https://thehackernews.com/2019/01/linux-apt-http-hacking.html
En Ubuntu 18.04 LTS, la versión bugfix es 1.6.6