Msimbo hasidi umetambuliwa katika kiteja cha kupumzika na vifurushi vingine 10 vya Ruby

Katika kifurushi maarufu cha vito kupumzika mteja, yenye jumla ya vipakuliwa milioni 113, kutambuliwa Ubadilishaji wa msimbo hasidi (CVE-2019-15224) unaopakua amri zinazoweza kutekelezeka na kutuma maelezo kwa seva pangishi ya nje. Shambulio hilo lilitekelezwa kupitia maelewano mteja wa mapumziko wa akaunti ya msanidi programu katika hazina ya rubygems.org, baada ya hapo wavamizi walichapisha matoleo 13-14 mnamo Agosti 1.6.10 na 1.6.13, ambayo yalijumuisha mabadiliko mabaya. Kabla ya matoleo mabaya kuzuiwa, takriban watumiaji elfu moja waliweza kupakua (washambuliaji walitoa sasisho kwa matoleo ya zamani ili wasivutie).

Mabadiliko hasidi yanabatilisha mbinu ya "#thibitisha" darasani
Utambulisho, baada ya hapo kila simu ya njia husababisha barua pepe na nenosiri lililotumwa wakati wa jaribio la uthibitishaji kutumwa kwa mwenyeji wa washambuliaji. Kwa njia hii, vigezo vya kuingia vya watumiaji wa huduma kwa kutumia darasa la Utambulisho na kusakinisha toleo lililo katika mazingira magumu la maktaba ya wateja wengine huzuiwa, ambayo iliyoangaziwa kama tegemezi katika vifurushi vingi vya Ruby, ikijumuisha ast (vipakuliwa milioni 64), oauth (milioni 32), fastlane (milioni 18), na kubeclient (milioni 3.7).

Kwa kuongezea, mlango wa nyuma umeongezwa kwa msimbo, ikiruhusu msimbo wa Ruby utekelezwe kupitia chaguo la kukokotoa la eval. Nambari ya kuthibitisha inatumwa kupitia Kidakuzi kilichoidhinishwa na ufunguo wa mshambulizi. Ili kuwafahamisha washambuliaji kuhusu usakinishaji wa kifurushi hasidi kwenye seva pangishi ya nje, URL ya mfumo wa mwathiriwa na uteuzi wa taarifa kuhusu mazingira, kama vile manenosiri yaliyohifadhiwa ya DBMS na huduma za wingu, hutumwa. Majaribio ya kupakua hati za uchimbaji madini ya cryptocurrency yalirekodiwa kwa kutumia msimbo hasidi uliotajwa hapo juu.

Baada ya kusoma kanuni hasidi ilikuwa kufichuliwakwamba kuna mabadiliko kama hayo 10 vifurushi katika Ruby Gems, ambazo hazikukamatwa, lakini zilitayarishwa mahsusi na washambuliaji kulingana na maktaba zingine maarufu zilizo na majina sawa, ambayo mstari ulibadilishwa na underscore au kinyume chake (kwa mfano, kulingana na cron-parser kifurushi hasidi cron_parser kiliundwa, na kulingana na sarafu_ya_doge kifurushi cha doge-coin hasidi). Vifurushi vya shida:

• msingi_wa sarafu: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• kushangaza-bot: 1.18.0
• sarafu ya mbwa: 1.0.2
• rangi ya capistrano: 0.5.5
• bitcoin_ubatili: 4.3.3
• lita_sarafu: 0.0.3
• inakuja-hivi karibuni: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Kifurushi cha kwanza kibaya kutoka kwenye orodha hii kilichapishwa mnamo Mei 12, lakini wengi wao walionekana mnamo Julai. Kwa jumla, vifurushi hivi vilipakuliwa takriban mara 2500.

Chanzo: opennet.ru