De makers van een populaire hackertool verwachten binnen een paar dagen een exploit te hebben voor een lek in Ruby on Rails, een opensource- webapplicatieframework dat ook door DigiD wordt gebruikt. Vanwege de kwetsbaarheid besloot overheidsorganisatie Logius, dat DigiD beheert, de dienst offline te halen. Morgen zal DigiD volgens een bericht op de website weer beschikbaar zijn.
Beveiligingsonderzoeker en bedenker van Metasploit H.D. Moore noemt het een 'eng lek' in Ruby on Rails. Ook Metasploit is in Ruby geschreven en inmiddels is er voor de hackertool een beveiligingsupdate verschenen.
Via Metasploit kunnen systeembeheerders en security professionals de veiligheid van systemen en netwerken testen. Naast de update wordt er echter ook een exploit verwacht die het mogelijk maakt om kwetsbare Ruby-systemen aan te vallen.
Exploit
Het probleem in Ruby on Rails wordt veroorzaakt doordat de XML processor een request als een YAML document of een Ruby Symbool kan decoderen. In beide gevallen is het vervolgens mogelijk om willekeurige code of SQL Injection uit te voeren. Felix Wilhelm maakte een uitgebreide analyse van de kwetsbaarheid, maar een proof-of-concept exploit ontbreekt.
Moore, die het lek zelf ook analyseerde, verwacht echter dat er binnen een paar dagen een exploit aan Metasploit kan worden toegevoegd. "Dit is zeer waarschijnlijk het ergste beveiligingsprobleem dat het Rails platform tot nu toe heeft gezien", besluit de onderzoeker.
De makers van Ruby on Rails hebben inmiddels een update uitgebracht die het probleem oplost.
Deze posting is gelocked. Reageren is niet meer mogelijk.