Hacker nutzen Ruby Rails Verletzlichkeit zu Servern gefährden, Botnet zu erstellen

2014-01-10  |  Comebuy News

Hacker nutzen aktiv eine kritische Schwachstelle in Ruby on Rails Web-Application-Development-Framework um Webserver gefährden und eine Botnet zu schaffen.

Comebuy Verwandte Artikel: Update Ruby jetzt bevor es erlischt die RailsUser-Hacks zugehenden GitHub Schaufenster Vulnerability nach Rails-Entwickler seine ReportRuby auf Schienen schließen, dass der dritte Sicherheitspatch in weniger als eine MonthRuby auf Rails Sicherheit Adresse SQL Injection FlawNew Botnet Angriffe aktualisiert Windows-Fehler ausgebessert

Ruby on Rails-Entwickler-Team veröffentlicht einen Sicherheits-Patch für die Sicherheitslücke, die im Januar als CVE-2013-0156, bekannt ist. Jedoch haben nicht einige Serveradministratoren ihre Schienen-Installationen noch aktualisiert.

Ruby on Rails ist ein beliebter Rahmen für die Entwicklung von Webanwendungen basierend auf der Programmiersprache Ruby und Webseiten wie Hulu, GroupOn, GitHub und Scribd dient.

"Es ist ziemlich überraschend, dass es hat dies lange [für einen Exploit] Oberfläche in freier Wildbahn, aber weniger überraschend, dass die Menschen laufen noch anfällige Installationen von Schienen," sagte Jeff Jarmoc, Sicherheitsberater mit Forschung Sicherheitsfirma Matasano Security, Dienstag in einem Blog-Post.

Der Exploit, der derzeit von Angreifern verwendet wird fügt einen benutzerdefinierten Cron-Job--einen geplanten Task auf Linux-Maschinen--, der eine Sequenz von Befehlen ausgeführt wird.

Diese Befehle eine bösartige C-Quellcode-Datei von einem remote-Server herunterladen, es lokal zu kompilieren und ausführen. Die daraus resultierende Malware ist ein Bot, die auf einen IRC (Internet Relay Chat) verbindet und verbindet einen vordefinierten Kanal, wo es auf Befehle von den Angreifern wartet.

Eine vorkompilierte Version der Malware wird auch heruntergeladen, für den Fall, dass die Kompilierung-Prozedur schlägt fehl, auf dem kompromittierten Systemen.

"Funktionalität beschränkt, sondern umfasst die Fähigkeit, herunterladen und Ausführen von Dateien wie geboten sowie Server, ändern," sagte Jarmoc. "Es gibt keine Authentifizierung durchgeführt, so dass eine unternehmungslustige Person diese Bots relativ leicht missbrauchen könnte, durch Beitritt des IRC-Servers und die Ausgabe der entsprechenden Befehle."

Berichte über schädliche Aktivitäten mit diesem Exploit in den letzten Tagen auf mehrere Diskussionsrunden gebucht wurden, und es scheint auch, dass einige Web-hosting-Provider betroffen waren, sagte Jarmoc.

Benutzer sollten die Ruby on Rails-Installationen auf ihren Servern zu aktualisieren, mindestens Version 3.2.11, 3.1.10, 3.0.19 oder 2.3.15, die den Patch für diese Sicherheitslücke enthalten. Die beste Vorgehensweise ist jedoch wahrscheinlich, aktualisieren Sie auf die aktuellsten verfügbaren Rails Versionen, je nach der Branche eingesetzt, da seitdem andere kritischen Sicherheitslücken beseitigt wurden.

Angreifer sind Webserver einsetzen als Teil des Botnets zunehmend beeinträchtigen. Zum Beispiel viele Apache-Server vor kurzem mit einem Stück namens Linux/Cdorked Malware infiziert wurden und dieser Malware-Versionen wurden auch für Lighttpd und Nginx-Webserver entwickelt.

« Back