BT

Accueil InfoQ Actualités Deraillé: des Hackers exploitent une faille Rails vieille de plusieurs mois

Deraillé: des Hackers exploitent une faille Rails vieille de plusieurs mois

Favoris

Les utilisateurs et administrateurs de sites web Ruby-On-Rails se voient ciblés par un malware qui exploite une vulnérabilité Ruby publiée en janvier 2013. Une fois exploitée, les systèmes non patchés sont forcés de télécharger du code spécifique depuis un ordinateur distant qui va causer la compilation par le système d'un client IRC ( Internet Relay Chat ), se connectant ensuite à un channel spécifique afin d'attendre des instructions supplémentaires. Ces attaques permettent de rappeler l'importance du déploiement prompt des patchs, alors que des politiques de sécurité laxistes sont mises en lumière.

La faille originale, annoncée dans le CEV-2013-0156, est située dans le code de Ruby on Rails qui traite les paramètres. Comme indiqué par Aaron Patterson:

Il existe de multiples faiblesses dans le code de parsing de paramètres de Ruby on Rails qui permettent à des attaquants d'outrepasser les systèmes d'authentification, d'injecter du SQL arbitraire et d'injecter et exécuter du code arbitraire, ou de réaliser une attaque de type DoS sur une application Rails.

Coïncidant avec cette annonce, la description par Patterson de la faille a fourni des informations sur où obtenir les patchs qui étaient disponibles pour de multiples versions de Rails. Encore 4 mois après il semble que beaucoup de sites demeurent non patchés et vulnérables. Les utilisateurs affectés ont exprimé leur frustration alors que leurs systèmes deviennent infectés. Le bloggeur en sécurité Jeff Jarmoc a fourni un guide pas-à-pas détaillé de l'*exploit* actuel, qui inclue du code source pour les programmes que le système infecté exécute afin de recevoir des instructions via IRC.

Les utilisateurs souhaitant voir si leur serveur est vulnérable peuvent essayer le logiciel Railscheck de Tinfoil Security. Le blog Code Climate Blog explique comment la faille originelle fonctionne et fourni un bon prototype pour ceux qui cherchent plus de détails.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

BT

Votre profil est-il à jour? Merci de prendre un instant pour vérifier.

Note: en cas de modification de votre adresse email, une validation sera envoyée.

Nom de votre entreprise:
Rôle dans votre entreprise:
Taille de votre entreprise:
Pays/Zone:
État/Province/Région:
Vous allez recevoir un email pour confirmer la nouvelle adresse email. Ce pop-up va se fermer de lui-même dans quelques instants.