En flittig developer ‘ s sikkerhed praksis har afdækket en farlig bagdør i en populær Ruby library for kontrol af password kræfter af bruger-valgte passwords.
Den ondsindede kode ind, hvis biblioteket blev brugt i en test eller produktion miljø. Når i produktionen, det vil hente og køre en anden nyttelast downloades fra Pastebin.com en tekst-hosting-portal.
Denne anden nyttelast ville skabe den faktiske bagdør i de apps og websteder, der har brugt biblioteket — opkaldt strong_password.
Fjern kommandoer, der er modtaget via cookie-filer
Bagdør ville sende hver inficeret webstedets WEBADRESSE til “smiley.zzz.com.ua” og vent derefter, for at få instruktioner.
Vejledningen var cookie-filer, som bagdør mekanisme ville pakke ud og løbe gennem en “eval” (execute) – funktion.
Dybest set denne mekanisme, der ville have tilladt hacker at køre kode, som han ønskede, inde i en app med backdoored bibliotek.
Bagdør-mekanisme, der blev opdaget af bygherren Tute Costa under regelmæssig sikkerhed revisioner, han udfører, før du opdaterer afhængigheder, der anvendes inde i hans produktion app.
Når Costa nået ud til bibliotekets reelle ejer, opdagede han, at hackeren har formået at erstatte den virkelige udvikler som biblioteket ejer på RubyGems, Ruby sprog største pakke repository.
Backdoored bibliotek hentet 547 gange
Her, hackeren har oprettet en ny udgivelse, for den strong_password bibliotek, nemlig version 0.0.7, der indeholder backdoored kode. Ifølge RubyGem statistik, 537 brugere hentede denne skadelig version.
Den ondsindede kode, der aldrig blev uploadet på bibliotekets GitHub konto. Det var kun distribueres gennem RubyGems.
Costa meddelt både biblioteket ejer og RubyGems security team om hans fund. Den ondsindede version blev fjernet fra RubyGems repo inden for en uge for at blive uploadet.
Fordi strong_password bibliotek er normalt brugt på apps og hjemmeside at administrere brugerkonti, skal ethvert projekt, der bruger dette bibliotek skal foretage en grundig sikkerhed revisionen med henblik på at opdage eventuelle brud og tyveri af brugernes data.
Hændelsen er uhyggeligt ligner en fra April i år, da en hacker backdoored Bootstrap-Sass Ruby library med en næsten identisk cookie-accept og eval-kører bagdør mekanisme.
Relaterede cybersecurity dækning:
Canonical GitHub konto hacket, Ubuntu kildekoden safeTor Projektet til at lave fejl, der bruges til DDoS angreb på Løg sites for yearsD-Link til at gennemgå sikkerhedscheck i 10 år som en del af FTC settlementUK ISP gruppe navne, Mozilla, Internet ‘Skurk’ støtte ‘DNS-over-HTTPS’Croatian regeringen målrettet på mystisk hackersUS ønsker at isolere elnet med ‘retro’ – teknologi til at begrænse cyber-angreb iOS udviklere stadigvæk at bygge end-to-end kryptering til apps TechRepublicDe bedste identitetstyveri overvågning tjenester til 2019 CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre