Kweaze koade ûntdutsen yn rest-client en 10 oare Ruby-pakketten

Yn in populêr gem pakket rest-kliïnt, mei in totaal fan 113 miljoen downloads, identifisearre Ferfanging fan kweade koade (CVE-2019-15224) dy't útfierbere kommando's downloade en ynformaasje stjoert nei in eksterne host. De oanfal waard útfierd troch kompromis ûntwikkeldersaccount rest-client yn 'e rubygems.org repository, wêrnei't de oanfallers publisearre releases 13-14 op 1.6.10 en 1.6.13 augustus, dy't kweade feroarings omfette. Foardat de kweade ferzjes waarden blokkearre, slaggen sa'n tûzen brûkers har te downloaden (de oanfallers hawwe updates útbrocht foar âldere ferzjes om net omtinken te lûken).

De kweade feroaring oerskriuwt de "#authenticate" metoade yn 'e klasse
Identiteit, wêrnei't elke metoadeoprop resultearret yn 'e e-post en wachtwurd ferstjoerd tidens de autentikaasjepoging wurdt stjoerd nei de host fan' e oanfallers. Op dizze manier wurde de oanmeldparameters fan tsjinstbrûkers dy't de Identity-klasse brûke en in kwetsbere ferzje fan 'e rest-clientbibleteek ynstallearje, ûnderskept, wat featured as ôfhinklikens yn in protte populêre Ruby-pakketten, ynklusyf ast (64 miljoen downloads), oauth (32 miljoen), fastlane (18 miljoen), en kubeclient (3.7 miljoen).

Derneist is in efterdoar tafoege oan 'e koade, wêrtroch willekeurige Ruby-koade kin wurde útfierd fia de evalfunksje. De koade wurdt oerdroegen fia in koekje sertifisearre troch de kaai fan 'e oanfaller. Om oanfallers te ynformearjen oer de ynstallaasje fan in kwea-aardich pakket op in eksterne host, wurde de URL fan it systeem fan it slachtoffer en in seleksje fan ynformaasje oer de omjouwing, lykas bewarre wachtwurden foar de DBMS en wolktsjinsten, ferstjoerd. Pogingen om skripts te downloaden foar mynbou fan cryptocurrency waarden opnommen mei de boppeneamde kweade koade.

Nei it bestudearjen fan de kweade koade wie it iepenbieredat ferlykbere feroarings binne oanwêzich yn 10 pakjes yn Ruby Gems, dy't net fêstlein waarden, mar spesjaal makke waarden troch oanfallers basearre op oare populêre bibleteken mei ferlykbere nammen, wêryn't it streepke ferfongen waard troch in ûnderstreekje of oarsom (bygelyks basearre op cron-parser in kwea-aardich pakket cron_parser waard makke, en basearre op doge_coin kwea-aardich doge-coin-pakket). Probleempakketten:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-munt: 1.0.2
• capistrano-kleuren: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• meikoarten: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

It earste kweade pakket fan dizze list waard pleatst op 12 maaie, mar de measte fan harren ferskynden yn july. Yn totaal waarden dizze pakketten sawat 2500 kear ynladen.

Boarne: opennet.ru