Ruby on Rails: Onda de Ataque via Bot

Em apenas alguns dias, criminosos tem aumentado suas investidas no intuito de comprometer servidores através de uma brecha de segurança no framework de aplicação web Ruby on Rails (RoR). Invasores bem sucedidos conseguem instalar um bot que aguarda por instruções futuras em um canal de IRC. Em seu blog o especialista em segurança Jeff Jarmoc relata que os criminosos estão tentando explorar uma das vulnerabilidades descritas pelo identificador CVE 2013-0156 (CVE-2013-0156). Mesmo sabendo que as brechas já foram corrigidas em Janeiro último, ainda existem muitos servidores na rede que provavelmente estão rodando versões desprotegidas do Ruby. Jarmoc disse que os atacantes tentam injetar o seguinte comando:



Dentre outras coisas, isso permite que o bot seja baixado pelo servidor invadido, e então compilado e executado. O especialista em segurança também incluiu o código fonte desse bot em seu blog. O "k" (como é conhecido) tenta contactar um servidor IRC hospedado no domínio cvv4you.ru e então participa do canal #rails nesse servidor IRC. Lá, o bot irá aguardar por instruções. Jarmoc afirma que o "k" pode ser instruído para baixar e executar código arbitrário. Atualmente o servidor IRC correspondente se encontra indisponível... pelo menos nesse endereço.

A título de identificação, o bot aparece na lista de processo como "– bash". Quando executado, o mesmo cria um arquivo chamado /tmp/tan.pid para garantir que apenas uma instância do bot seja executada. Para aqueles que rodam um servidor com Ruby on Rails precisam sempre ter a certeza de que a versão corrente mais atual está instalada. As versões correntes (que corrigem essa brecha de segurança) do Ruby on Rails são 3.2.13, 3.1.12 e 2.3.18.

Saiba Mais:

- Heise Online: Attack wave on Ruby on Rails (em Inglês)