Skaðlegur kóði fannst í rest-client og 10 öðrum Ruby pakka

Í vinsælum gimsteinapakka hvíldar-viðskiptavinur, með samtals 113 milljón niðurhalum, greind Skipting á skaðlegum kóða (CVE-2019-15224) sem halar niður keyranlegum skipunum og sendir upplýsingar til utanaðkomandi gestgjafa. Árásin var gerð í gegnum málamiðlun þróunarreikningur rest-client í rubygems.org geymslunni, eftir það birtu árásarmennirnir útgáfur 13-14 1.6.10. og 1.6.13. ágúst, sem innihéldu illgjarnar breytingar. Áður en illgjarnar útgáfur voru lokaðar tókst um þúsund notendum að hlaða þeim niður (árásarmennirnir gáfu út uppfærslur á eldri útgáfum til að vekja ekki athygli).

Illgjarn breyting hnekkir "#authenticate" aðferðinni í bekknum
Auðkenni, eftir það leiðir hvert aðferðarsímtal til þess að tölvupósturinn og lykilorðið sem sent var meðan á auðkenningartilrauninni stóð er sent til gestgjafa árásarmannsins. Þannig eru innskráningarfæribreytur þjónustunotenda sem nota Identity flokkinn og setja upp viðkvæma útgáfu af rest-client bókasafninu, sem lögun sem ósjálfstæði í mörgum vinsælum Ruby-pökkum, þar á meðal ast (64 milljón niðurhal), oauth (32 milljónir), fastlane (18 milljónir) og kubeclient (3.7 milljónir).

Að auki hefur bakdyri verið bætt við kóðann, sem gerir kleift að framkvæma handahófskenndan Ruby kóða með eval aðgerðinni. Kóðinn er sendur með vafraköku sem er vottað af lykli árásarmannsins. Til að upplýsa árásarmenn um uppsetningu illgjarns pakka á utanaðkomandi hýsil er vefslóð kerfis fórnarlambsins og úrval upplýsinga um umhverfið, svo sem vistuð lykilorð fyrir DBMS og skýjaþjónustu, send. Tilraunir til að hlaða niður forskriftum fyrir námuvinnslu dulritunargjaldmiðla voru skráðar með ofangreindum skaðlegum kóða.

Eftir að hafa rannsakað illgjarn kóðann var það í ljósað svipaðar breytingar eru til staðar í 10 pakkar í Ruby Gems, sem voru ekki teknar, en voru sérstaklega útbúnar af árásarmönnum sem byggðu á öðrum vinsælum bókasöfnum með svipuðum nöfnum, þar sem strikið var skipt út fyrir undirstrik eða öfugt (til dæmis byggt á cron-þáttur illgjarn pakki cron_parser var búinn til og byggður á doge_mynt illgjarn doge-mynt pakki). Vandamálapakkar:

• myntgrunnur: 4.2.2, 4.2.1
• blockchain_veski: 0.0.6, 0.0.7
• æðislegur-botni: 1.18.0
• doge-mynt: 1.0.2
• capistrano-litir: 0.5.5
• bitcoin_hégómi: 4.3.3
• lita_mynt: 0.0.3
• kemur-bráðum: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Fyrsti illgjarn pakkinn af þessum lista var birtur 12. maí, en flestir þeirra birtust í júlí. Alls var þessum pakka hlaðið niður um 2500 sinnum.

Heimild: opennet.ru