Kode jahat dideteksi dina klien sésana sareng 10 bungkusan Ruby anu sanés

Dina pakét gem populér sésana-klien, kalayan total 113 juta unduhan, dicirikeun Substitusi kode jahat (CVE-2019-15224) anu ngaunduh paréntah anu tiasa dieksekusi sareng ngirim inpormasi ka host éksternal. Serangan dilaksanakeun ngaliwatan kompromi akun pamekar rest-klien di gudang rubygems.org, nu satutasna panyerang diterbitkeun Kaluaran 13-14 on August 1.6.10 jeung 1.6.13, nu kaasup parobahan jahat. Sateuacan vérsi jahat diblokir, sakitar sarébu pangguna tiasa ngaunduhana (para panyerang ngaluarkeun apdet kana vérsi anu langkung lami supados henteu narik perhatian).

Parobahan jahat nimpa metode "#authenticate" di kelas
Idéntitas, saatos unggal metode nelepon nyababkeun email sareng kecap akses anu dikirim nalika usaha auténtikasi dikirim ka host panyerang. Ku cara ieu, parameter login pangguna jasa anu nganggo kelas Identity sareng masang versi anu rentan tina perpustakaan klien sésana dicegat, anu diulas salaku kagumantungan dina loba bungkusan Ruby populér, kaasup ast (64 juta undeuran), oauth (32 juta), fastlane (18 juta), sarta kubeclient (3.7 juta).

Sajaba ti éta, backdoor geus ditambahkeun kana kode, sahingga kode Ruby sawenang bisa dieksekusi via fungsi eval. Kodeu dikirimkeun ngaliwatan Cookie anu disertipikasi ku konci panyerang. Pikeun nginpokeun panyerang ngeunaan pamasangan pakét jahat dina host éksternal, URL sistem korban sareng pilihan inpormasi ngeunaan lingkungan, sapertos kecap konci anu disimpen pikeun DBMS sareng jasa awan, dikirim. Usaha pikeun ngaunduh naskah pikeun pertambangan cryptocurrency dirékam nganggo kode jahat anu disebatkeun di luhur.

Saatos diajar kode jahat éta diungkabkeunyén parobahan sarupa aya dina 10 bungkusan dina Ruby Gems, anu henteu direbut, tapi disiapkeun khusus ku panyerang dumasar kana perpustakaan populér sanés anu nami anu sami, dimana dashna diganti ku underscore atanapi sabalikna (contona, dumasar kana cron-parser pakét jahat cron_parser dijieun, sarta dumasar kana doge_coin paket jahat doge-coin). Paket masalah:

• coin_base: 4.2.2, 4.2.1
• blockchain_dompet: 0.0.6, 0.0.7
• Heboh-bot: 1.18.0
• doge-koin: 1.0.2
• capistrano-warna: 0.5.5
• bitcoin_sombongan: 4.3.3
• lita_coin: 0.0.3
• geura sumping: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Paket jahat munggaran tina daptar ieu dipasang dina 12 Mei, tapi kalolobaanana muncul dina bulan Juli. Dina total, bungkusan ieu diunduh sakitar 2500 kali.

sumber: opennet.ru