🥇Kod move detekte nan rest-client ak 10 lòt pakè Ruby

Nan yon pake gem popilè rès-kliyan, ak yon total de 113 milyon telechajman, idantifye Ranplasman kòd move (CVE-2019-15224) ki telechaje kòmandman ègzekutabl epi voye enfòmasyon bay yon lame ekstèn. Atak la te fèt nan konpwomi kont pwomotè rès-kliyan nan depo rubygems.org, apre sa atakè yo pibliye degaje 13-14 sou Out 1.6.10 ak 1.6.13, ki gen ladann chanjman move. Anvan vèsyon move yo te bloke, apeprè mil itilizatè yo te jere telechaje yo (atakatè yo te pibliye mizajou nan vèsyon ki pi ansyen yo nan lòd yo pa atire atansyon).

Chanjman move a pase sou metòd "#authenticate" nan klas la
Idantite, apre sa chak apèl metòd rezilta nan imèl la ak modpas yo voye pandan tantativ otantifikasyon an ke yo te voye bay lame atakè yo. Nan fason sa a, yo entèsepte paramèt koneksyon itilizatè sèvis yo lè l sèvi avèk klas idantite a ak enstale yon vèsyon vilnerab nan bibliyotèk rès-kliyan an, ki chin an tap kòm yon depandans nan anpil pakè Ruby popilè, ki gen ladan ast (64 milyon telechajman), oauth (32 milyon), fastlane (18 milyon), ak kubeclient (3.7 milyon).

Anplis de sa, yo te ajoute yon backdoor nan kòd la, ki pèmèt kòd abitrè Ruby yo dwe egzekite atravè fonksyon an eval. Kòd la transmèt atravè yon Cookie ki sètifye pa kle atakè a. Pou enfòme atakè yo sou enstalasyon an nan yon pake move sou yon lame ekstèn, URL la nan sistèm viktim nan ak yon seleksyon nan enfòmasyon sou anviwònman an, tankou modpas sove pou DBMS yo ak sèvis nwaj yo, yo voye. Tantativ pou telechaje scripts pou min cryptocurrency yo te anrejistre lè l sèvi avèk kòd move mansyone anwo a.

Apre etidye kòd la move li te reveleke chanjman ki sanble yo prezan nan 10 pakè nan Ruby Gems, ki pa te kaptire, men yo te prepare espesyalman pa atakè ki baze sou lòt bibliyotèk popilè ak non menm jan an, nan ki priz la te ranplase ak yon souliye oswa vis vèrsa (pa egzanp, ki baze sou cron-parser yon pakè move cron_parser te kreye, epi ki baze sou doge_coin doge-coin move pake). Pakè pwoblèm:

monnen_baz: NAN, NAN
blockchain_wallet: NAN, NAN
awesome-bot: 1.18.0
doj-pyès monnen: 1.0.2
capistrano-koulè: 0.5.5
bitcoin_vanity: 4.3.3
lita_coin: 0.0.3
vini-byento: 0.2.8
omniauth_amazon: 1.0.1
cron_parser: 1.0.12, 1.0.13, 0.1.4

Premye pake move nan lis sa a te afiche sou 12 me, men pifò nan yo te parèt an Jiyè. An total, pakè sa yo te telechaje apeprè 2500 fwa.

Sous: opennet.ru

Kòd move detekte nan rès-kliyan ak 10 lòt pakè Ruby

Add nouvo kòmantè Anile reply