BT

Deraillé: des Hackers exploitent une faille Rails vieille de plusieurs mois

par Jeff Martin , traduit par Simon Baslé le 17 juin 2013 |

Les utilisateurs et administrateurs de sites web Ruby-On-Rails se voient ciblés par un malware qui exploite une vulnérabilité Ruby publiée en janvier 2013. Une fois exploitée, les systèmes non patchés sont forcés de télécharger du code spécifique depuis un ordinateur distant qui va causer la compilation par le système d'un client IRC ( Internet Relay Chat ), se connectant ensuite à un channel spécifique afin d'attendre des instructions supplémentaires. Ces attaques permettent de rappeler l'importance du déploiement prompt des patchs, alors que des politiques de sécurité laxistes sont mises en lumière.

La faille originale, annoncée dans le CEV-2013-0156, est située dans le code de Ruby on Rails qui traite les paramètres. Comme indiqué par Aaron Patterson:

Il existe de multiples faiblesses dans le code de parsing de paramètres de Ruby on Rails qui permettent à des attaquants d'outrepasser les systèmes d'authentification, d'injecter du SQL arbitraire et d'injecter et exécuter du code arbitraire, ou de réaliser une attaque de type DoS sur une application Rails.

Coïncidant avec cette annonce, la description par Patterson de la faille a fourni des informations sur où obtenir les patchs qui étaient disponibles pour de multiples versions de Rails. Encore 4 mois après il semble que beaucoup de sites demeurent non patchés et vulnérables. Les utilisateurs affectés ont exprimé leur frustration alors que leurs systèmes deviennent infectés. Le bloggeur en sécurité Jeff Jarmoc a fourni un guide pas-à-pas détaillé de l'*exploit* actuel, qui inclue du code source pour les programmes que le système infecté exécute afin de recevoir des instructions via IRC.

Les utilisateurs souhaitant voir si leur serveur est vulnérable peuvent essayer le logiciel Railscheck de Tinfoil Security. Le blog Code Climate Blog explique comment la faille originelle fonctionne et fourni un bon prototype pour ceux qui cherchent plus de détails.

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Contenu Éducatif

Rien ne serait possible sans le soutien et la confiance de nos Sponsors Fondateurs:

AppDynamics   CloudBees   Microsoft   Zenika
Feedback Général
Bugs
Publicité
Éditorial
InfoQ.com et tous les contenus sont copyright © 2006-2013 C4Media Inc. InfoQ.com est hébergé chez Contegix, le meilleur ISP avec lequel nous ayons travaillé.
Politique de confidentialité
BT