BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Deraillé: des Hackers exploitent une faille Rails vieille de plusieurs mois

Deraillé: des Hackers exploitent une faille Rails vieille de plusieurs mois

Les utilisateurs et administrateurs de sites web Ruby-On-Rails se voient ciblés par un malware qui exploite une vulnérabilité Ruby publiée en janvier 2013. Une fois exploitée, les systèmes non patchés sont forcés de télécharger du code spécifique depuis un ordinateur distant qui va causer la compilation par le système d'un client IRC ( Internet Relay Chat ), se connectant ensuite à un channel spécifique afin d'attendre des instructions supplémentaires. Ces attaques permettent de rappeler l'importance du déploiement prompt des patchs, alors que des politiques de sécurité laxistes sont mises en lumière.

La faille originale, annoncée dans le CEV-2013-0156, est située dans le code de Ruby on Rails qui traite les paramètres. Comme indiqué par Aaron Patterson:

Il existe de multiples faiblesses dans le code de parsing de paramètres de Ruby on Rails qui permettent à des attaquants d'outrepasser les systèmes d'authentification, d'injecter du SQL arbitraire et d'injecter et exécuter du code arbitraire, ou de réaliser une attaque de type DoS sur une application Rails.

Coïncidant avec cette annonce, la description par Patterson de la faille a fourni des informations sur où obtenir les patchs qui étaient disponibles pour de multiples versions de Rails. Encore 4 mois après il semble que beaucoup de sites demeurent non patchés et vulnérables. Les utilisateurs affectés ont exprimé leur frustration alors que leurs systèmes deviennent infectés. Le bloggeur en sécurité Jeff Jarmoc a fourni un guide pas-à-pas détaillé de l'*exploit* actuel, qui inclue du code source pour les programmes que le système infecté exécute afin de recevoir des instructions via IRC.

Les utilisateurs souhaitant voir si leur serveur est vulnérable peuvent essayer le logiciel Railscheck de Tinfoil Security. Le blog Code Climate Blog explique comment la faille originelle fonctionne et fourni un bon prototype pour ceux qui cherchent plus de détails.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT