Zoals verwacht zijn er exploits online verschenen die misbruik maken van een beveiligingslek in Ruby on Rails, het platform dat onder andere door DigiD wordt gebruikt. De kwetsbaarheden in DigiD zijn inmiddels gepatcht. Aangezien de update voor het lek in Rails pas sinds 8 januari beschikbaar is, is het goed mogelijk dat nog niet alle systeembeheerders hun installatie hebben bijgewerkt.
Toch is haast geboden, want er zijn nu vier proof-of-concept exploits online verschenen voor Ronin. Ronin is een Ruby platform voor beveiligingsonderzoek en het ontwikkelen van exploits. Via de exploits kan een aanvaller willekeurige code, SQL-injectie en een Denial of Service uitvoeren alsmede de authenticatie omzeilen.
Gerucht
Volgens de ontwikkelaar van Ronin, gingen geruchten over het lek in Ruby on Rails (CVE-2013-0156) al sinds 21 december bij de ontdekking van een ander lek (CVE-2012-5664) rond.
De details die toen naar buiten kwamen maakten het niet mogelijk om willekeurige code uit te voeren, waarop de maker van Ronin op onderzoek uitging. Dat heeft nu tot een werkende proof-of-concept exploit geleid.
De exploits zijn inmiddels bevestigd door H.D. Moore, de ontwikkelaar van de populaire hackertool Metasploit. Met dit framework kunnen security professionals en systeembeheerders de veiligheid van systemen en netwerken testen.
Moore liet zo'n negen uur geleden via Twitter weten dat er binnen vier tot twaalf uur een module voor Metasploit zal uitkomen waar de exploits in verwerkt zijn, waardoor iedereen zijn of haar Rails-installatie kan testen.
Deze posting is gelocked. Reageren is niet meer mogelijk.