Зиянды код rest-client және басқа 10 Ruby бумаларында анықталды

Танымал асыл тас пакетінде демалыс-клиент, барлығы 113 миллион жүктеп алынған, анықталды Орындалатын пәрмендерді жүктеп алатын және ақпаратты сыртқы хостқа жіберетін зиянды кодты (CVE-2019-15224) ауыстыру. Шабуыл арқылы жүзеге асты ымыраға келу rubygems.org репозиторийіндегі әзірлеуші ​​тіркелгісінің rest-client, содан кейін шабуылдаушылар 13 және 14 тамызда зиянды өзгерістерді қамтитын 1.6.10-1.6.13 шығарылымдарын жариялады. Зиянды нұсқалар бұғатталғанға дейін мыңға жуық пайдаланушы оларды жүктеп алып үлгерді (шабуылдаушылар назар аудартпау үшін ескі нұсқаларға жаңартуларды шығарды).

Зиянды өзгерту сыныптағы "#authenticate" әдісін жоққа шығарады
Идентификатор, содан кейін әрбір әдіс шақыруы аутентификация әрекеті кезінде жіберілген электрондық пошта мен құпия сөзді шабуылдаушылардың хостына жібереді. Осылайша, Identity класын пайдаланатын және қалған клиент кітапханасының осал нұсқасын орнатқан қызмет пайдаланушыларының кіру параметрлері ұсталады, олар ұсынылған ast (64 миллион жүктеу), oauth (32 миллион), fastlane (18 миллион) және kubeclient (3.7 миллион) сияқты көптеген танымал Ruby пакеттеріне тәуелділік ретінде.

Бұған қоса, кодқа бағалау функциясы арқылы ерікті Ruby кодын орындауға мүмкіндік беретін бэкдор қосылды. Код шабуылдаушы кілтімен расталған Cookie файлы арқылы жіберіледі. Зиянды пакетті сыртқы хостқа орнату туралы шабуылдаушыларды хабардар ету үшін жәбірленушінің жүйесінің URL мекенжайы және ДҚБЖ және бұлттық қызметтер үшін сақталған құпия сөздер сияқты қоршаған орта туралы ақпараттың таңдауы жіберіледі. Жоғарыда аталған зиянды кодтың көмегімен криптовалютаны өндіруге арналған сценарийлерді жүктеп алу әрекеттері тіркелді.

Зиянды кодты зерттегеннен кейін бұл болды ашылдыосыған ұқсас өзгерістер бар 10 пакет Ruby Gems-те, олар басып алынбаған, бірақ шабуылдаушылармен ұқсас атаулары бар басқа танымал кітапханалар негізінде арнайы дайындалған, онда сызықша астын сызумен ауыстырылған немесе керісінше (мысалы, cron-талдаушы cron_parser зиянды бумасы жасалды және негізінде doge_coin doge-coin зиянды пакеті). Проблемалық пакеттер:

• монета_базасы: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• керемет-бот: 1.18.0
• дог-тиын: 1.0.2
• капистрано түстері: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• жақында шығады: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Бұл тізімдегі бірінші зиянды пакет 12 мамырда жарияланған, бірақ олардың көпшілігі шілдеде пайда болған. Барлығы бұл пакеттер шамамен 2500 рет жүктелді.

Ақпарат көзі: opennet.ru