Béisaarteg Code entdeckt am Rescht Client an 10 anere Ruby Packagen

An engem populäre Bijou Package Rescht-Client, mat insgesamt 113 Milliounen Downloads, identifizéiert Ersatz vu béiswëllegen Code (CVE-2019-15224) deen ausführbar Kommandoen erofluet an Informatioun un en externen Host schéckt. D'Attack gouf duerchgefouert Kompromëss Entwéckler Kont Rest-Client am rubygems.org Repository, no deem d'Ugräifer verëffentlecht Verëffentlechungen 13-14 den 1.6.10. an 1.6.13. August, déi béiswëlleg Ännerungen abegraff. Ier déi béiswëlleg Versioune blockéiert goufen, hunn ongeféier dausend Benotzer et fäerdeg bruecht se erofzelueden (d'Ugräifer hunn Updates op eeler Versioune verëffentlecht fir net opmierksam ze maachen).

Déi béiswëlleg Ännerung iwwerschreift d'Methode "#authentifizéieren" an der Klass
Identitéit, no deem all Method Uruff resultéiert datt d'E-Mail an d'Passwuert, déi während der Authentifikatiounsversuch geschéckt ginn, un den Host vun den Ugräifer geschéckt gëtt. Op dës Manéier ginn d'Loginparameter vun de Servicebenotzer, déi d'Identitéitsklass benotzen an eng vulnerabel Versioun vun der Rest-Client-Bibliothéik installéiert, ofgefaangen, déi presentéiert als Ofhängegkeet a ville populäre Ruby Packagen, dorënner ast (64 Milliounen Downloads), oauth (32 Milliounen), Fastlane (18 Milliounen), a Kubeclient (3.7 Milliounen).

Zousätzlech ass eng Backdoor zum Code bäigefüügt ginn, wat et erlaabt arbiträr Ruby Code iwwer d'Eval Funktioun auszeféieren. De Code gëtt iwwer e Cookie iwwerdroen, zertifizéiert vum Angreifer Schlëssel. Fir Ugräifer iwwer d'Installatioun vun engem béiswëllegen Paket op engem externen Host z'informéieren, ginn d'URL vum System vum Affer an eng Auswiel vun Informatioun iwwer d'Ëmwelt, wéi gespäichert Passwierder fir d'DBMS a Cloud-Servicer, geschéckt. Versuche fir Skripte fir cryptocurrency-Mining erofzelueden goufen opgeholl mat dem uewe genannte béiswëllegen Code.

Nom béiswëlleg Code studéiert war et opgedecktdatt ähnlech Ännerungen präsent sinn an 10 Packagen an Ruby Gems, déi net ageholl goufen, awer speziell vun Ugräifer virbereet goufen op Basis vun anere populäre Bibliothéike mat ähnlechen Nimm, an deenen den Bindestrich duerch en Ënnersträich ersat gouf oder vice-versa (zum Beispill, baséiert op cron-parser e béiswëlleg Package cron_parser gouf erstallt, a baséiert op doge_coin béiswëlleg Doge-Coin Package). Problem Packagen:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• genial Bot: 1.18.0
• doge-Mënz: 1.0.2
• capistrano-Faarwen: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• kënnt geschwënn: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Déi éischt béiswëlleg Package vun dëser Lëscht gouf den 12. Mee gepost, awer déi meescht sinn am Juli opgetaucht. Am Ganzen goufen dës Packagen ongeféier 2500 Mol erofgelueden.

Source: opennet.ru