Kode jahat dideteksi ing klien liyane lan 10 paket Ruby liyane

Ing paket permata populer ngaso-klien, kanthi total 113 yuta undhuhan, dikenali Substitusi kode angkoro (CVE-2019-15224) sing ngundhuh printah sing bisa dieksekusi lan ngirim informasi menyang host eksternal. Serangan kasebut ditindakake liwat kompromi akun pangembang liyane-klien ing repositori rubygems.org, sawise kang panyerang nerbitaké release 13-14 ing Agustus 1.6.10 lan 1.6.13, kang kalebu owah-owahan angkoro. Sadurunge versi angkoro diblokir, kira-kira sewu pangguna bisa ndownload (para panyerang ngeculake update kanggo versi lawas supaya ora narik kawigaten).

Owah-owahan angkoro nimpa cara "#authenticate" ing kelas
Identitas, sawise saben cara nelpon ngasilake email lan sandhi sing dikirim nalika nyoba otentikasi dikirim menyang host panyerang. Kanthi cara iki, paramèter login pangguna layanan nggunakake kelas Identitas lan nginstal versi rentan saka perpustakaan klien liyane dicegat, sing ditampilake minangka ketergantungan ing akeh paket Ruby populer, kalebu ast (64 yuta download), oauth (32 yuta), fastlane (18 yuta), lan kubeclient (3.7 yuta).

Kajaba iku, backdoor wis ditambahake menyang kode, saéngga kode Ruby sewenang-wenang bisa dieksekusi liwat fungsi eval. Kode kasebut dikirim liwat Cookie sing disertifikasi dening kunci penyerang. Kanggo ngandhani panyerang babagan instalasi paket ala ing host eksternal, URL sistem korban lan pilihan informasi babagan lingkungan, kayata sandhi sing disimpen kanggo DBMS lan layanan awan, dikirim. Upaya ngundhuh skrip kanggo pertambangan cryptocurrency direkam nggunakake kode angkoro sing kasebut ing ndhuwur.

Sawise sinau kode angkoro iku dicethakakésing owah-owahan padha ana ing 10 paket ing Ruby Gems, sing ora dicekel, nanging disiapake khusus dening panyerang adhedhasar perpustakaan populer liyane kanthi jeneng sing padha, ing ngendi dash diganti nganggo garis ngisor utawa kosok balene (contone, adhedhasar cron-parser cron_parser paket angkoro digawe, lan adhedhasar doge_coin paket doge-coin angkoro). Paket masalah:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• apik tenan-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano-werna: 0.5.5
• bitcoin_bangsan: 4.3.3
• lita_coin: 0.0.3
• teka-rauh: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Paket angkoro pisanan saka dhaptar iki dikirim ing 12 Mei, nanging umume muncul ing Juli. Secara total, paket kasebut diundhuh udakara 2500 kali.

Source: opennet.ru