Skip to main content

Hacker nutzen Ruby on Rails Verwundbarkeit Server zu kompromittieren, erstellen Botnet

Hacker ausnutzen aktiv eine kritische Sicherheitslücke in Ruby on Rails Web Application Development Framework, um Web-Server zu kompromittieren und ein Botnetz erstellen.

The Ruby Im Januar veröffentlichte Rails-Entwicklerteam einen Sicherheitspatch für die Sicherheitslücke CVE-2013-0156. Web-Anwendungen für die Entwicklung auf der Basis der Programmiersprache Ruby Allerdings haben einige Server-Administratoren noch nicht ihre Rails-Installationen aktualisiert.

Ruby on Rails ein beliebter Rahmen und wird von Websites, darunter Hulu, Groupon, GitHub und Scribd verwendet.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"Es ist ziemlich überraschend, dass es so lange gedauert hat [für einen Exploit], aber weniger überraschend, dass Leute weiterhin verwundbare Installationen von Rails ausführen. "sagte Jeff Jarmoc, ein Sicherheitsberater des Sicherheitsforschungsunternehmens Matasano Security, am Dienstag in einem Blogbeitrag.

Der Exploit, der derzeit von Angreifern benutzt wird, fügt einen benutzerdefinierten Cron-Job hinzu - eine geplante Aufgabe auf Linux-Rechnern Befehle.

Diese Befehle laden eine bösartige C-Quelldatei von einem entfernten Server herunter, kompilieren sie lokal und führen sie aus. Die sich ergebende Malware ist ein Bot, der einen vordefinierten Kanal zu einem IRC (Internet Relay Chat)-Server und verbindet, wo es für Befehle von den Angreifern wartet.

Eine vorkompilierte Version der Malware auch im Fall heruntergeladen wird der Übersetzungsvorgang nicht auf die kompromittierten Systeme.

"Die Funktionalität ist begrenzt, beinhaltet aber die Möglichkeit, Dateien wie angewiesen herunterzuladen und auszuführen sowie Server zu wechseln", sagte Jarmoc. „Es gibt keine Authentifizierung durchgeführt, so ein unternehmender Einzel diese Bots ziemlich leicht durch den Beitritt der IRC-Server und die Erteilung der entsprechenden Befehle kapern konnten.“

Berichte über schädliche Aktivitäten über diese Schwachstelle wurden in den letzten Tagen an mehreren Diskussionsforen und es auch gepostet scheint, dass einige Webhosting-Anbieter betroffen waren, sagte Jarmoc.

Benutzer sollten die Ruby on Rails-Installationen auf ihren Servern auf mindestens Versionen 3.2.11, 3.1.10, 3.0.19 oder 2.3.15 aktualisieren, die den Patch für Diese Sicherheitsanfälligkeit. Wie auch immer, die beste Vorgehensweise ist wahrscheinlich die Aktualisierung auf die neuesten verfügbaren Rails-Versionen, abhängig von der verwendeten Verzweigung, da seither andere kritische Schwachstellen behoben wurden.

Angreifer kompromittieren zunehmend Web-Server, um sie als Teil von Botnetzen zu verwenden . Zum Beispiel wurden kürzlich viele Apache-Server mit einer Malware namens Linux / Cdorked infiziert und Versionen dieser Malware wurden auch für Lighttpd- und Nginx-Webserver entwickelt.