Nul
Ruby programmeringssprog er påvirket af en lignende “deserialization problem”, der har påvirket og hærgede i Java-økosystem i 2016; et problem, der senere viste sig også at være et problem for .NET og PHP applikationer, så godt.
Spørgsmålet i hjertet af dette problem er, hvordan Ruby håndterer processen med serialisering –og dens modstykke, deserialisering.
Serialisering er den proces, der omdanner et data-objekt i et binært format, så det kan sendes via et netværk, gemt inde i en database, eller gemmes på disk. Som du måske kan forestille dig, deserialization er den modsatte proces af at vende en binær klat tilbage til sine data objekt struktur, der kan så føres tilbage i programmeringssprog til videre behandling på et senere tidspunkt.
Næsten alle programmeringssprog understøtter serialisering og deserialisering operationer. Nogle vil måske bruge forskellige navne for disse processer, men konceptet er fundet i næsten alle. For eksempel, i nogle Ruby dokumentation filer har nogle udviklere henvise til serialisering og deserialisering operationer i henhold til vilkårene i rådgivningen og unmarshalling data.
Fortløbende og deserializing data er en fælles operation i mange web og desktop applikationer, primært fordi det er en utrolig nem og hurtig måde at flytte data mellem programmer eller forskellige programmeringssprog medier.
Men sikkerhed forskere har slået alarm om forkert brug af disse to operationer. Det har nu været kendt i årevis, at denne proces kunne være målrettet til trick-applikationer til at køre ondsindede kommandoer, især når de bruger udstyret og de medfølgende data fødes direkte ind i en serializer uden at blive renset først, og derefter deserialized i en kæde af automatiserede operationer uden sikkerhedsforanstaltninger.
Java-Apocalypse
Dette blev smerteligt indlysende i 2015, når to sikkerhedseksperter –Chris Frohoff og Gabriel Lawrence– opdaget en farlig fejl i den måde data blev deserialized via Apache Commons Collection, som er en meget populære Java bibliotek.
Forskere fra Foxglove Sikkerhed udvidet på Frohoff og Lawrence ‘ s oprindelige arbejde, viser, hvordan en hacker kan udnytte Apache Commons Indsamling bibliotek fejl til at tage over WebLogic, WebSphere, JBoss, Jenkins, og OpenNMS Java-servere.
Proof-of-concept kode, der frigives fra disse forsøg blev senere brugt til at bekræfte, at over 70 andre Java-programmer var også sårbare over for deserialization fejl. En ShiftLeft rapport viste også, at mange serialisering/deserialisering spørgsmål på tværs af mange SaaS-leverandør i sdk ‘ er.
Disse opdagelser, og den åbenbaring, at deserialization angreb kunne fungere i praksis og ikke bare en teoretisk angreb rystede Java-økosystem i 2016, og spørgsmålet blev kendt som Java-Apokalypse.
Organisationer, såsom Apache, Cisco, Red Hat, Cisco, VMWare, IBM, Intel, Adobe, HP, Jenkins, og SolarWinds, alle udstedt sikkerhedsbulletiner, og patches til at fastsætte de berørte produkter.
For en sikkerheds skyld, Google tilladt over 50 af dens Java-ingeniører til at deltage i et projekt ved navn Operation Rosehub, hvor Google-medarbejdere indsendt rettelser til Java biblioteker for at forhindre deserialization angreb.
Mere end 2.600 blev lappet i Drift Rosehub, men budskabet blev hørt højt og tydeligt på Oracle ‘ s kontorer, og selskabet meddelte i dette forår har planer om at droppe serialisering/deserialisering støtte fra selve Java-sproget.
.NET og PHP også ramt
Men spørgsmålet ikke stoppe med Java. I 2017, HPE sikkerhed forskerne opdagede også, at mange .NET biblioteker for at støtte serialisering og deserialisering operationer blev også sårbare over for lignende angreb, som lov hackere at overtage apps og servere.
PHP fulgte trop et par måneder efter, og tidligere på sommeren, en PHP deserialization spørgsmål blev også fundet i WordPress er et content management system, der bliver brugt til at køre mere end 30 procent af Internet sites.
Og nu, Ruby, også.
Men, i denne uge, sikkerhed forskere fra elttam, en Australsk IT-sikkerhedsfirma, har også opdaget, at Ruby-baserede apps er også sårbare over for serialisering/deserialisering angreb.
Forskere, offentliggjort proof-of-concept kode, der viser, hvordan til at udnytte serialisering/deserialisering operationer, der støttes af indbyggede Ruby programmeringssprog i sig selv.
“Version 2.0 til 2.5 er berørt,” elttam siger forskerne.
“Der er en masse muligheder for det fremtidige arbejde, herunder at have den teknik, der dækker Ruby versioner 1,8 og 1,9 samt dækker de tilfælde, hvor Ruby proces er gældende, med kommandolinje-argumentet –disable-alle,” elttam team tilføjet. “Alternativ Ruby-implementeringer, som JRuby og Rubinius kunne også blive undersøgt.”
Mens Java .NET deserialization spørgsmål var begrænset til tredje-parts biblioteker, der deserialization spørgsmål indvirkning Ruby sig i høj grad øger et hacker-angreb overflade.
Med denne uges afsløringer, der er nu proof-of-concept kode, der er tilgængelige online-for at samle serialisering/deserialisering angreb mod fire af de mest populære programmer økosystemer rundt –Java .NET, PHP og Ruby.
Som HPE forskere har påpeget i deres forskning papir om .NETTO-serialisering elendighed, problemet er ikke så enkelt at løse.
Serialisering/deserialisering spørgsmål-uanset programmeringssprog– er en kombination af koden, men også dårlig kodning praksis på vegne af udviklere, der undlader at anerkende, at føljeton data er ikke nødvendigvis sikker som standard, og bør have tillid, når deserialized.
Fastsættelse dette ville kræve, at der desinfektion input fra brugeren, før det fortløbende og derefter begrænse en deserialized data ‘ s adgang til visse funktioner til at forhindre, at skadelig kode fra at have sin måde med en server.
Relaterede dækning:
Nul-dag i det populære WordPress plugin udnyttes i naturen til at tage over webstederAdobe ColdFusion-servere under angreb fra APT gruppeVirtualBox zero-day udgivet af utilfredse forskerMange CMS, plugins, er at deaktivere TLS-certifikat validering… og det er meget slemt
WPA3 Wi-Fi er her, og det er sværere at hacke CNET
Google ‘ s automatiserede fuzz bot har fundet på over 9.000 bugs i de seneste to årHjemmesider er angrebet 58 gange i døgnet, selv når lappet ordentligt TechRepublicTolv ondsindede Python-biblioteker fundet og fjernet fra PyPI
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0