Kode gaiztoa detektatu da rest-client eta beste 10 Ruby paketeetan

Harribitxi pakete ezagun batean atseden-bezero, guztira 113 milioi deskargarekin, identifikatu Komando exekutagarriak deskargatu eta kanpoko ostalari bati informazioa bidaltzen duen kode gaiztoaren ordezkapena (CVE-2019-15224). Erasoa bidez egin zen konpromisoa garatzaile-kontua rest-client rubygems.org biltegian, eta ondoren erasotzaileek 13-14 bertsioak argitaratu zituzten abuztuaren 1.6.10an eta 1.6.13an, aldaketa gaiztoak barne. Bertsio gaiztoak blokeatu aurretik, mila erabiltzaile inguruk deskargatzea lortu zuten (erasotzaileek bertsio zaharragoen eguneraketak kaleratu zituzten arreta ez erakartzeko).

Aldaketa gaiztoak klaseko "#authenticate" metodoa gainidazten du
Identitatea, metodo-dei bakoitzak erasotzaileen ostalariari autentifikazio-saiakeran bidalitako mezu elektronikoa eta pasahitza eragiten du. Horrela, Identity klasea erabiltzen duten zerbitzuen erabiltzaileen saio-hasiera-parametroak eta gainerako bezeroen liburutegiaren bertsio zaurgarri bat instalatzen dute. nabarmendu Ruby pakete ezagun askotan menpekotasun gisa, besteak beste, ast (64 milioi deskarga), oauth (32 milioi), fastlane (18 milioi) eta kubeclient (3.7 milioi).

Gainera, kodeari atzeko atea gehitu zaio, Ruby kode arbitrarioa eval funtzioaren bidez exekutatu ahal izateko. Erasotzailearen gakoak ziurtatutako Cookie baten bidez transmititzen da kodea. Erasotzaileak kanpoko ostalari batean pakete gaizto baten instalazioaren berri emateko, biktimen sistemaren URLa eta inguruneari buruzko informazio hautaketa bat bidaltzen dira, hala nola DBMS eta hodeiko zerbitzuetarako gordetako pasahitzak. Kriptomoneta meatzaritzako scriptak deskargatzeko saiakerak goian aipatutako kode gaiztoa erabiliz grabatu ziren.

Kode gaiztoa aztertu ondoren izan zen agerianantzeko aldaketak daudela 10 pakete Ruby Gems-en, harrapatu ez zirenak, baina erasotzaileek bereziki prestatu zituzten antzeko izenak dituzten beste liburutegi ezagun batzuetan oinarrituta, zeinetan marra azpimarraz ordezkatzen zen edo alderantziz (adibidez, oinarrituta. cron-analisia cron_parser pakete gaizto bat sortu zen, eta oinarrituta doge_txanpona doge-coin pakete gaiztoa). Arazo paketeak:

• txanpon_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• ikaragarri-bot: 1.18.0
• doge-txanpon: 1.0.2
• capistrano-koloreak: 0.5.5
• bitcoin_banity: 4.3.3
• lita_coin: 0.0.3
• laister: 0.2.8
• omniauth_amazon: 1.0.1
• cron_analisia: 1.0.12, 1.0.13, 0.1.4

Zerrenda honetako lehen pakete gaiztoa maiatzaren 12an argitaratu zen, baina gehienak uztailean agertu ziren. Guztira, pakete hauek 2500 aldiz inguru deskargatu ziren.

Iturria: opennet.ru