Mewn pecyn gemau poblogaidd , gyda chyfanswm o 113 miliwn o lawrlwythiadau, Amnewid cod maleisus (CVE-2019-15224) sy'n lawrlwytho gorchmynion gweithredadwy ac yn anfon gwybodaeth at westeiwr allanol. Cariwyd yr ymosodiad trwy cyfrif datblygwr gweddill-cleient yn y storfa rubygems.org, ac ar Γ΄l hynny cyhoeddodd yr ymosodwyr ddatganiadau 13-14 ar Awst 1.6.10 a 1.6.13, a oedd yn cynnwys newidiadau maleisus. Cyn i'r fersiynau maleisus gael eu rhwystro, llwyddodd tua mil o ddefnyddwyr i'w lawrlwytho (rhoddodd yr ymosodwyr ddiweddariadau i fersiynau hΕ·n er mwyn peidio Γ’ denu sylw).
Mae'r newid maleisus yn diystyru'r dull "#authenticate" yn y dosbarth
Hunaniaeth, ac ar Γ΄l hynny mae pob galwad dull yn arwain at anfon yr e-bost a'r cyfrinair a anfonwyd yn ystod yr ymgais ddilysu at westeiwr yr ymosodwyr. Fel hyn, mae paramedrau mewngofnodi defnyddwyr gwasanaeth sy'n defnyddio'r dosbarth Hunaniaeth a gosod fersiwn agored i niwed o'r llyfrgell gweddill-cleient yn cael eu rhyng-gipio, sy'n fel dibyniaeth mewn llawer o becynnau Ruby poblogaidd, gan gynnwys Ast (64 miliwn o lawrlwythiadau), oauth (32 miliwn), fastlane (18 miliwn), a kubeclient (3.7 miliwn).
Yn ogystal, mae drws cefn wedi'i ychwanegu at y cod, gan ganiatΓ‘u i god Ruby mympwyol gael ei weithredu trwy'r swyddogaeth eval. Mae'r cod yn cael ei drosglwyddo trwy Cwci sydd wedi'i ardystio gan allwedd yr ymosodwr. I hysbysu ymosodwyr am osod pecyn maleisus ar westeiwr allanol, anfonir URL system y dioddefwr a detholiad o wybodaeth am yr amgylchedd, megis cyfrineiriau wedi'u cadw ar gyfer y DBMS a gwasanaethau cwmwl. Cofnodwyd ymdrechion i lawrlwytho sgriptiau ar gyfer mwyngloddio cryptocurrency gan ddefnyddio'r cod maleisus a grybwyllir uchod.
Ar Γ΄l astudio'r cod maleisus yr oedd bod newidiadau tebyg yn bresennol yn yn Ruby Gems, na chawsant eu dal, ond a baratowyd yn arbennig gan ymosodwyr yn seiliedig ar lyfrgelloedd poblogaidd eraill ag enwau tebyg, lle disodlwyd y llinell doriad gyda thanlinelliad neu i'r gwrthwyneb (er enghraifft, yn seiliedig ar crΓ«wyd pecyn maleisus cron_parser, ac yn seiliedig ar pecyn maleisus doge-coin). Pecynnau problem:
- : 4.2.2, 4.2.1
- : 0.0.6, 0.0.7
- : 1.18.0
- : 1.0.2
- : 0.5.5
- : 4.3.3
- : 0.0.3
- : 0.2.8
- : 1.0.1
- : 1.0.12, 1.0.13, 0.1.4
Postiwyd y pecyn maleisus cyntaf o'r rhestr hon ar Fai 12, ond ymddangosodd y rhan fwyaf ohonynt ym mis Gorffennaf. At ei gilydd, lawrlwythwyd y pecynnau hyn tua 2500 o weithiau.
Ffynhonnell: opennet.ru