Kwaadwillige kode bespeur in res-kliënt en 10 ander Ruby-pakkette

In 'n gewilde juweelpakket rus-kliënt, met 'n totaal van 113 miljoen aflaaie, geïdentifiseer Vervanging van kwaadwillige kode (CVE-2019-15224) wat uitvoerbare opdragte aflaai en inligting na 'n eksterne gasheer stuur. Die aanval is uitgevoer deur kompromie ontwikkelaarrekening rest-kliënt in die rubygems.org-bewaarplek, waarna die aanvallers vrystellings 13-14 op 1.6.10 en 1.6.13 Augustus gepubliseer het, wat kwaadwillige veranderinge ingesluit het. Voordat die kwaadwillige weergawes geblokkeer is, het ongeveer duisend gebruikers daarin geslaag om dit af te laai (die aanvallers het opdaterings aan ouer weergawes vrygestel om nie aandag te trek nie).

Die kwaadwillige verandering ignoreer die "#authenticate"-metode in die klas
Identiteit, waarna elke metode-oproep daartoe lei dat die e-pos en wagwoord wat tydens die verifikasiepoging gestuur is, na die aanvallers se gasheer gestuur word. Op hierdie manier word die aanmeldparameters van diensgebruikers wat die Identity-klas gebruik en 'n kwesbare weergawe van die res-kliënt-biblioteek installeer, onderskep, wat vertoon as 'n afhanklikheid in baie gewilde Ruby-pakkette, insluitend ast (64 miljoen aflaaie), oauth (32 miljoen), fastlane (18 miljoen) en kubeclient (3.7 miljoen).

Daarbenewens is 'n agterdeur by die kode gevoeg, wat toelaat dat arbitrêre Ruby-kode uitgevoer kan word via die eval-funksie. Die kode word oorgedra deur 'n koekie wat deur die aanvaller se sleutel gesertifiseer is. Om aanvallers in te lig oor die installering van 'n kwaadwillige pakket op 'n eksterne gasheer, word die URL van die slagoffer se stelsel en 'n verskeidenheid inligting oor die omgewing, soos gestoorde wagwoorde vir die DBBS en wolkdienste, gestuur. Pogings om skrifte af te laai vir cryptocurrency-mynbou is aangeteken deur die bogenoemde kwaadwillige kode te gebruik.

Na die bestudering van die kwaadwillige kode was dit geopenbaardat soortgelyke veranderinge teenwoordig is in 10 pakkies in Ruby Gems, wat nie vasgelê is nie, maar spesiaal voorberei is deur aanvallers gebaseer op ander gewilde biblioteke met soortgelyke name, waarin die streep met 'n onderstreep vervang is of andersom (byvoorbeeld, gebaseer op cron-ontleder 'n kwaadwillige pakket cron_parser is geskep, en gebaseer op doge_munt kwaadwillige doge-munt-pakket). Probleem pakkette:

• muntstuk_basis: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-muntstuk: 1.0.2
• capistrano-kleure: 0.5.5
• bitcoin_ydelheid: 4.3.3
• lita_munt: 0.0.3
• kom binnekort: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Die eerste kwaadwillige pakket van hierdie lys is op 12 Mei geplaas, maar die meeste van hulle het in Julie verskyn. In totaal is hierdie pakkette ongeveer 2500 keer afgelaai.

Bron: opennet.ru