„Rest-client“ ir 10 kitų „Ruby“ paketų aptiktas kenkėjiškas kodas

Populiarioje brangakmenių pakuotėje poilsis-klientas, iš viso atsiųsta 113 mln. nustatyta Kenkėjiško kodo (CVE-2019-15224), kuris atsisiunčia vykdomąsias komandas ir siunčia informaciją į išorinį pagrindinį kompiuterį, pakeitimas. Išpuolis buvo įvykdytas per kompromisas kūrėjo paskyros rest-client rubygems.org saugykloje, po to užpuolikai rugpjūčio 13 ir 14 d. paskelbė 1.6.10–1.6.13 leidimus, kuriuose buvo kenkėjiškų pakeitimų. Prieš užblokuojant kenkėjiškas versijas, jas pavyko atsisiųsti apie tūkstančiui vartotojų (siekdami neatkreipti dėmesio, užpuolikai išleido senesnių versijų atnaujinimus).

Kenkėjiškas pakeitimas nepaiso „#autentifikavimo“ metodo klasėje
Tapatybė, po kurios kiekvieno metodo iškvietimo el. laiškas ir slaptažodis, išsiųsti bandant autentifikuoti, siunčiami užpuoliko prieglobai. Tokiu būdu perimami paslaugų vartotojų, naudojančių tapatybės klasę ir įdiegusių pažeidžiamą likusio kliento bibliotekos versiją, prisijungimo parametrai, kurie pasižymėjo kaip priklausomybė nuo daugelio populiarių „Ruby“ paketų, įskaitant „ast“ (64 mln. atsisiuntimų), „oauth“ (32 mln.), „Fastlane“ (18 mln.) ir „kubeclient“ (3.7 mln.).

Be to, prie kodo buvo pridėtos užpakalinės durys, leidžiančios atlikti savavališką Ruby kodą naudojant eval funkciją. Kodas perduodamas per slapuką, patvirtintą užpuoliko raktu. Norint informuoti užpuolikus apie kenkėjiško paketo įdiegimą išoriniame pagrindiniame kompiuteryje, siunčiamas aukos sistemos URL ir tam tikra informacija apie aplinką, pvz., išsaugoti DBVS ir debesijos paslaugų slaptažodžiai. Bandymai atsisiųsti kriptovaliutų kasimo scenarijus buvo užfiksuoti naudojant minėtą kenkėjišką kodą.

Ištyrus kenkėjišką kodą taip ir buvo atskleistakad yra panašių pokyčių 10 pakuočių „Ruby Gems“, kurios nebuvo užfiksuotos, bet buvo specialiai paruoštos užpuolikų pagal kitas populiarias bibliotekas panašiais pavadinimais, kuriose brūkšnys buvo pakeistas apatiniu brūkšniu arba atvirkščiai (pavyzdžiui, remiantis krono analizatorius buvo sukurtas kenkėjiškas paketas cron_parser ir pagrįstas doge_coin Doge-coin kenkėjiškas paketas). Probleminiai paketai:

• monetų_bazė: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• nuostabus-bot: 1.18.0
• doge-moneta: 1.0.2
• kapistrano spalvos: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_moneta: 0.0.3
• netrukus: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Pirmasis kenkėjiškas paketas iš šio sąrašo buvo paskelbtas gegužės 12 d., tačiau dauguma jų pasirodė liepos mėnesį. Iš viso šie paketai buvo atsisiųsti apie 2500 kartų.

Šaltinis: opennet.ru