Ограненный бэкдором рубин: в Ruby-библиотеке strong_password нашли вредонос

Опубликовано at 16:40
29 0

Довольно иронично внедренный код-вредонос обнаружили в библиотеке strong_password – этот пакет создавлся для проверки надежности пользовательских паролей.

По словам обнаружившего проблему разработчика Тут Коста (Tute Costa), «обновленная» версия библиотеки проверяла, не используется ли она в тестовой среде, и если нет – загружала с Pastebin.com бэкдор. После «активации» бэкдор связывался с ресурсом smiley.zzz.com[.]ua и ожидал дальнейших инструкций, которые получал в форме файлов cookie, распаковывая и выполняя их через eval (execute).

В конечном итоге хакеры получали возможность выполнить произвольный код внутри приложения с зараженной библиотекой.

Вредоносный код был добавлен в strong_password с релизом версии 0.0.7, 25 июня 2019 года, которую, согласно статистике RubyGems, успели загрузить 537 пользователей. Что важно, сделанные атакующим изменения не коснулись GitHub-репозитория проекта, скомпрометирован был только RubyGems (фрэймворк для установки и запаковки Ruby библиотек и приложений).

В настоящее время вредоносная версия strong_password уже удалена командой безопасности RubyGems. Всем потенциальным пострадавшим разработчики рекомендуют немедленно откатить библиотеку к использованию версии 0.0.6, а также выполнить тщательный аудит своих проектов.

Следует отметить, что инцидент со strong_password это не первая атака на библиотеки Ruby за последнее время: весной аналогичная компрометация произошла с Ruby-библиотекой Bootstrap-Sass.

Недавно на GitHub появилось сообщение, что неизвестные атаковали цифровые сертификаты OpenPGP двух ключевых участников сообщества, Роберта Дж. Хансена (Robert J. Hansen) и Дэниела Кахна Гиллмора (Daniel Kahn Gillmor), известных сообществу как «rjh» и «dkg». В результате модифицированные сертификаты попали в сеть сервера ключей шифрования. Модифицированы они, естественно, не в лучшую сторону: при попытке загрузить такой сертификат установки OpenPGP выходят из строя.

Читайте также материал на АКБ о проблемах Ruby с сериализацией:

Вот и до Ruby, наконец, дошла уязвимость, с помощью которой злоумышленники могут заставить приложение запускать вредоносный код. Уязвимость эта хорошо знакома специалистам в лицо, называют ее «ошибкой десериализации». Впервые эта дыра наделала шороху еще в 2015 году, когда ее обнаружили в Java: вызванный во всей экосистеме хаос даже получил название Java Apocalypse. В 2017-м аналогичный процесс повторился в .NET и PHP, ну а теперь, стало быть, очередь дошла и до Ruby.

Подписываемся, следим @CyberAgency

Related Post

Создавать мозги умных устройств со смартфона: Google готова представить Android Things

Опубликовано - 08.05.2018 0
Корпорация Google объявила о завершении стадии бета-тестирования платформы Android Things, среды для создания программной части умных устройств. Всего было выпущено…