Pahatahtlik kood tuvastati rest-kliendis ja 10 muus Ruby paketis

Populaarses kalliskivi pakendis puhata-klient, kokku 113 miljonit allalaadimist, tuvastatud Pahatahtliku koodi (CVE-2019-15224) asendamine, mis laadib alla käivitatavad käsud ja saadab teabe välisele hostile. Rünnak viidi läbi kompromiss arendajakonto rest-client rubygems.org hoidlas, misjärel avaldasid ründajad 13. ja 14. augustil väljalasked 1.6.10-1.6.13, mis sisaldasid pahatahtlikke muudatusi. Enne pahatahtlike versioonide blokeerimist õnnestus umbes tuhandel kasutajal need alla laadida (ründajad lasid vanematele versioonidele värskendusi välja, et mitte tähelepanu äratada).

Pahatahtlik muudatus alistab klassis meetodi "#autentimine".
Identiteet, mille järel saadetakse iga meetodi väljakutse autentimiskatse ajal saadetud meil ja parool ründajate hostile. Nii püütakse kinni identiteediklassi kasutavate ja rest-kliendi teegi haavatavat versiooni installivate teenusekasutajate sisselogimisparameetrid, mis esiletõstetud paljude populaarsete Ruby pakettide, sealhulgas ast (64 miljonit allalaadimist), oauth (32 miljonit), fastlane (18 miljonit) ja kubeclient (3.7 miljonit) sõltuvusena.

Lisaks on koodile lisatud tagauks, mis võimaldab eval funktsiooni kaudu käivitada suvalist Ruby koodi. Kood edastatakse ründaja võtmega sertifitseeritud küpsise kaudu. Ründajate teavitamiseks pahatahtliku paketi installimisest välisesse hosti saadetakse ohvri süsteemi URL ja valik teavet keskkonna kohta, näiteks DBMS-i ja pilveteenuste jaoks salvestatud paroolid. Krüptoraha kaevandamise skriptide allalaadimise katsed salvestati ülalmainitud pahatahtliku koodi abil.

Pärast pahatahtliku koodi uurimist see oli paljastatudet sarnased muutused esinevad 10 pakki Ruby Gemsis, mida ei jäädvustatud, vaid ründajad valmistasid spetsiaalselt ette teiste sarnaste nimedega populaarsete raamatukogude põhjal, milles sidekriips asendati alakriipsuga või vastupidi (näiteks cron-parser loodi pahatahtlik pakett cron_parser ja põhineb sellel doge_coin Doge-coin pahatahtlik pakett). Probleemsed paketid:

• mündi_baas: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• vinge-bot: 1.18.0
• doge-münt: 1.0.2
• kapistrano-värvid: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_münt: 0.0.3
• tulekul: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Esimene pahatahtlik pakett sellest nimekirjast postitati 12. mail, kuid enamik neist ilmus juulis. Kokku laaditi neid pakette alla umbes 2500 korda.

Allikas: opennet.ru