Malica kodo detektita en rest-kliento kaj 10 aliaj Ruby-pakaĵoj

En populara gema pako ripoz-kliento, kun totalo de 113 milionoj da elŝutoj, identigita Anstataŭigo de malica kodo (CVE-2019-15224), kiu elŝutas plenumeblajn komandojn kaj sendas informojn al ekstera gastiganto. La atako estis efektivigita tra kompromiso programisto-konto rest-kliento en la rubygems.org deponejo, post kiu la atakantoj publikigis eldonojn 13-14 la 1.6.10-an kaj 1.6.13-an de aŭgusto, kiuj inkludis malicajn ŝanĝojn. Antaŭ ol la malicaj versioj estis blokitaj, ĉirkaŭ mil uzantoj sukcesis elŝuti ilin (la atakantoj publikigis ĝisdatigojn al pli malnovaj versioj por ne altiri atenton).

La malica ŝanĝo superas la metodon "#authenticate" en la klaso
Identeco, post kiu ĉiu metodovoko rezultigas la retpoŝton kaj pasvorton senditajn dum la aŭtentiga provo senditaj al la gastiganto de la atakantoj. Tiel, la ensalutaj parametroj de servaj uzantoj uzantaj la Identecan klason kaj instalantajn vundeblan version de la ripoz-klienta biblioteko estas kaptitaj, kio prezentita kiel dependeco en multaj popularaj Ruby-pakaĵoj, inkluzive de ast (64 milionoj da elŝutoj), oauth (32 milionoj), fastlane (18 milionoj), kaj kubeclient (3.7 milionoj).

Krome, malantaŭa pordo estis aldonita al la kodo, permesante al arbitra Ruby-kodo esti efektivigita per la evalfunkcio. La kodo estas transdonita per Kuketo atestita per la ŝlosilo de la atakanto. Por informi atakantojn pri la instalado de malica pako sur ekstera gastiganto, la URL de la sistemo de la viktimo kaj elekto de informoj pri la medio, kiel konservitaj pasvortoj por la DBMS kaj nubaj servoj, estas senditaj. Provoj elŝuti skriptojn por kripta monero-minado estis registritaj per la supre menciita malica kodo.

Post studi la malican kodon ĝi estis riveliske similaj ŝanĝoj ĉeestas 10 pakoj en Ruby Gems, kiuj ne estis kaptitaj, sed estis speciale preparitaj de atakantoj surbaze de aliaj popularaj bibliotekoj kun similaj nomoj, en kiuj la streketo estis anstataŭigita per substreko aŭ inverse (ekzemple, surbaze de cron-parser malica pako cron_parser estis kreita, kaj bazita sur doge_coin doge-coin malica pako). Problemaj pakoj:

• monero_bazo4.2.2, 4.2.1
• blokĉeno_monujo0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano-koloroj: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• baldaŭ: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

La unua malica pakaĵo el ĉi tiu listo estis afiŝita la 12-an de majo, sed la plej multaj el ili aperis en julio. Entute ĉi tiuj pakoj estis elŝutitaj ĉirkaŭ 2500 fojojn.

fonto: opennet.ru