欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CVE-2019-13354 :Ruby strong_password库劫持

来源:本站整理 作者:佚名 时间:2019-07-10 TAG: 我要投稿

安全更新和升级是常见的确保安全的方式,但是供应链攻击也瞄准了这个方向。最近,研究人员发现新版本的strong_password中存在漏洞,Rubygems.org网站统计显示0.0.7恶意版本下载量共为537次。研究人员建议使用0.0.7版本的用户尽快回滚到之前版本。
漏洞分析
该漏洞是withatwist.dev博客作者安全研究人员Tute Costa发现的,Tute Costa在手动查看更新后的依赖关系时发现了该问题。
通过比较发布版本和源代码的变更日志,研究人员发现新发布的0.0.7版本与GitHub上发布的上一版本源代码并没有进行改变。
在分析0.0.7版本的commit时研究人员注意到了strong_password的代码:

首先解释一下恶意版本的Ruby strong_password库使用的pastebin.com payload:

1. 攻击者其实是黑掉了原来strong_password维护人员的账号来获取发布访问的权限。
2. 恶意版本0.0.7发布在Rubygems.org上,其中含有第一个payload。
3. 只有当应用被检测到在生产环境中运行,并且运行了特定时间后,才会触发恶意版本,向pastebin.com发送一个请求来取回payload并进行评估。
4. 来自pastebin.com的第二个payload会修改 Sendfile 方法来获取HTTP_COOKIE(即___id)的值,并进行评估。因此允许任意远程攻击者来进行远程命令执行。
5. 恶意代码会ping 服务器来提供运行应用的URL。
研究人员将该漏洞报告给了维护人员,此时维护人员发现竟然没有删除发布的权限了,随后该漏洞被分配CVE编号CVE-2019-13354。
恶意代码漏洞和供应链攻击
三个月前,攻击者就攻击了Ruby gems package bootstrap-sass,攻击者入侵了Rubygems.org的维护账号发布了恶意版本来引入远程代码执行后门。
除了Rubygems.org外,还有很多企业都被面临着供应链攻击的威胁。两周前,研究人员还发现了npm中存在针对加密货币挖矿钱包的恶意包。好的一点是,npm和rubygems的安全人员响应速度都很快。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载