Kodiċi malizzjuż misjub f'rest-client u 10 pakketti Ruby oħra

F'pakkett gem popolari mistrieħ-klijent, b'total ta' 113-il miljun download, identifikati Sostituzzjoni ta' kodiċi malizzjuż (CVE-2019-15224) li jniżżel kmandi eżekutibbli u jibgħat informazzjoni lil host estern. L-attakk sar permezz kompromess iżviluppatur kont mistrieħ-klijent fil-repożitorju rubygems.org, wara li l-attakkanti ppubblikati rilaxxi 13-14 fuq Awissu 1.6.10 u 1.6.13, li kienu jinkludu bidliet malizzjużi. Qabel ma ġew imblukkati l-verżjonijiet malizzjużi, madwar elf utent irnexxielhom iniżżluhom (l-attakkanti ħarġu aġġornamenti għal verżjonijiet eqdem sabiex ma jiġbdux l-attenzjoni).

Il-bidla malizzjuża tipprevali l-metodu "#authenticate" fil-klassi
Identità, u wara kull sejħa tal-metodu tirriżulta fl-email u l-password mibgħuta waqt l-attentat ta 'awtentikazzjoni jintbagħtu lill-host tal-attakkanti. Dan il-mod, il-parametri tal-login tal-utenti tas-servizz li jużaw il-klassi tal-Identità u li jinstallaw verżjoni vulnerabbli tal-librerija tal-bqija tal-klijenti huma interċettati, li dehru bħala dipendenza f'ħafna pakketti Ruby popolari, inklużi ast (64 miljun download), oauth (32 miljun), fastlane (18-il miljun), u kubeclient (3.7 miljun).

Barra minn hekk, ġie miżjud backdoor mal-kodiċi, li jippermetti li kodiċi Ruby arbitrarju jiġi esegwit permezz tal-funzjoni eval. Il-kodiċi jiġi trażmess permezz ta 'Cookie ċċertifikata miċ-ċavetta tal-attakkant. Biex tgħarraf lill-attakkanti dwar l-installazzjoni ta 'pakkett malizzjuż fuq host estern, jintbagħtu l-URL tas-sistema tal-vittma u għażla ta' informazzjoni dwar l-ambjent, bħal passwords salvati għad-DBMS u servizzi cloud. Tentattivi biex jitniżżlu skripts għall-minjieri tal-kripto-munita ġew irreġistrati bl-użu tal-kodiċi malizzjuż imsemmi hawn fuq.

Wara li studja l-kodiċi malizzjuż kien żvelatli bidliet simili huma preżenti fi 10 pakketti f'Ruby Gems, li ma nqabdux, iżda ġew ippreparati b'mod speċjali minn attakkanti bbażati fuq libreriji popolari oħra b'ismijiet simili, li fihom is-sing kien sostitwit b'linja taħt linja jew viċi versa (per eżempju, ibbażata fuq cron-parser inħoloq pakkett malizzjuż cron_parser, u bbażat fuq doge_coin pakkett malizzjuż doge-coin). Pakketti tal-problema:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• tal-biża-bot: 1.18.0
• doge-munita: 1.0.2
• capistrano-kuluri: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• ġej dalwaqt: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

L-ewwel pakkett malizzjuż minn din il-lista tpoġġa fit-12 ta’ Mejju, iżda ħafna minnhom dehru f’Lulju. B'kollox, dawn il-pakketti tniżżlu madwar 2500 darba.

Sors: opennet.ru