In rest-client und weiteren 10 Ruby-Paketen wurde böswilliger Code gefunden.

In beliebtem Gem-Paket rest-client, das insgesamt 113 Millionen Downloads verzeichnet, wurde wurde schadhafter Code (CVE-2019-15224) eingeschleust, der ausführbare Befehle lädt und Informationen an einen externen Host sendet. Der Angriff erfolgte durch die Kompromittierung des Entwicklerkontos von rest-client im Repository rubygems.org, wonach die Angreifer am 13. und 14. August die Versionen 1.6.10-1.6.13 veröffentlichten, die schädliche Änderungen enthielten. Bevor die bösartigen Versionen blockiert werden konnten, hatten etwa tausend Benutzer sie bereits heruntergeladen (da die Angreifer zur Ablenkung Aktualisierungen alter Versionen veröffentlichten).

Die schadhafte Änderung überschreibt die Methode „#authenticate“ in der Klasse
Identity, wodurch jeder Aufruf der Methode dazu führt, dass die während des Authentifizierungsversuchs übermittelten E-Mail-Adresse und das Passwort an den Host der Angreifer gesendet werden. Auf diese Weise werden die Anmeldedaten von Benutzern von Diensten, die die Klasse Identity nutzen und eine verwundbare Version der Bibliothek rest-client installiert haben, abgefangen. ist betroffen. als Abhängigkeit in vielen beliebten Ruby-Paketen, darunter ast (64 Millionen Downloads), oauth (32 Millionen), fastlane (18 Millionen) und kubeclient (3,7 Millionen).

Darüber hinaus wurde im Code ein Backdoor hinzugefügt, das die Ausführung beliebigen Ruby-Codes über die Funktion eval ermöglicht. Der Code wird über Cookies übermittelt, die mit dem Schlüssel des Angreifers signiert sind. Um die Angreifer über die Installation des schädlichen Pakets auf einem externen Host zu informieren, wird die URL des Opfers und eine Zusammenstellung von Umgebungsinformationen, wie gespeicherten Passwörtern für Datenbanken und Cloud-Dienste, übertragen. Mit dem oben genannten schädlichen Code wurden Versuche festgestellt, Skripte zum Schürfen von Kryptowährungen zu laden.

Nach der Analyse des schädlichen Codes wurde 35 Schwachstellen identifiziert, auf deren Grundlage mehrere Angriffsszenarien entwickelt wurden, die es ermöglichen, AES-Schlüssel aus der Enklave zu extrahieren oder die Ausführung eigenen Codes durch das Schaffen von Bedingungen für die Beschädigung des Speicherinhalts zu organisieren., dass ähnliche Änderungen auch in 10 Paketen in Ruby Gems vorhanden sind, die nicht erfasst wurden, sondern speziell von Angreifern auf Basis anderer beliebter Bibliotheken mit ähnlichen Namen vorbereitet wurden, bei denen der Bindestrich durch einen Unterstrich oder umgekehrt ersetzt wurde (zum Beispiel auf Basis von cron-parser wurde das schädliche Paket cron_parser erstellt, und auf Basis von doge_coin das schädliche Paket doge-coin). Betroffene Pakete:

Das erste schädliche Paket aus dieser Liste wurde am 12. Mai veröffentlicht, doch die Mehrheit tauchte im Juli auf. Insgesamt wurden die genannten Pakete etwa 2500 Mal heruntergeladen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster