Nieuws

Hackers maken botnet van Ruby on Rails-servers

woensdag 29 mei 2013, 14:57 door Redactie, 4 reacties

Cybercriminelen gebruiken een ernstig beveiligingslek in Ruby on Rails om een botnet van servers te maken. Rails is een open source framework voor het ontwikkelen van webapplicaties voor de Ruby programmeertaal. Volgens de website builtwith.com zouden meer dan 240.000 websites Ruby on Rails gebruiken. Via de kwetsbaarheid konden aanvallers willekeurige code uitvoeren.

Een patch voor het probleem verscheen begin januari, alweer vijf maanden geleden. Toch blijken veel systeembeheerders de patch niet te hebben uitgerold, waardoor cybercriminelen nu hun slag slaan. Die kapen de servers en maken ze onderdeel van een botnet, dat via een IRC-server wordt bestuurd.

IRC-server
Aangezien er geen authenticatie plaatsvindt, kan iedereen zich op de IRC-server aanmelden en de besmette servers opdrachten geven, aldus onderzoeker Jeff Jarmoc, die het nieuws over het nieuwe server-botnet naar buiten bracht. Ook Jarmoc benadrukt dat zowel het probleem, als de update die het lek oplost, al maanden bekend zijn.

Waakhond: Europese privacyregels zijn bejaard

GoogleUpdateSetup.exe meest gecontroleerde bestand

Reacties (4)

29-05-2013, 16:00 door Anoniem

A safer Mac by getting Ruby off-track ?

Om dit security nieuws te kunnen bijbenen wat vragen door een stapje terug te doen.
Bij Mac OS X wordt Ruby (on Rails) integraal meegeleverd.

Bijvoorbeeld :

Ruby - hd/Library/Ruby
Ruby.framework - hd/System/Library/Frameworks/Ruby.framework
RubyCocoa.framework - hd/System/Library/Frameworks/RubyCocoa.framework
Rails - te vinden in het Ruby.framework

Ik heb echter geen idee welke applicaties (buiten het zeer nuttige Textwrangler) daarvan gebruik maken.
Zover mijn kennis reikt wordt Ruby niet actief geupdated (laat staan bij oudere versies van OS X 10.4 / 10.5 / 10.6).

Wie kan mij vertellen :

1) in hoeverre dit een security risico voor OS X is en op welk gebied.
2) welke meer reguliere programma's onder OS X zonder Ruby niet werken.
3) wat de consequenties zijn van het verwijderen van bijvoorbeeld 'Ruby' uit de algemene Library folder en de consequenties daarvan.
4) of zelfs het verwijderen van het "Ruby.framework" of het "RubyCocoa.framework" uit de System Library.

De waarschuwingen rondom de 4e vraag heb ik wel gezien op o.a. stackoverflow, ondanks Mac ervaring niet technisch onderlegd genoeg om de reikwijdte binnen Mac OS X te kunnen overzien.

Op zich heb ik zich nog wel een Mac over om dat via trial-&-error-methode te testen.
Maar als iemand al antwoorden op bovenstaande vragen heeft scheelt dat weer heel wat testtijd
en kunnen andere Mac/linux gebruikers hier misschien ook hun voordeel mee doen.

Ben benieuwd.

29-05-2013, 18:24 door 0101

@Anoniem 16:00
Ruby != Ruby on Rails.

Ruby on Rails is een web framework geschreven in Ruby. Ruby is een programmeertaal. De bestanden op je Mac zijn voor het uitvoeren van applicaties die in Ruby geschreven zijn, en hebben verder niets te maken met Ruby on Rails. Je kunt ze dus gerust laten staan.

29-05-2013, 22:49 door Anoniem

Als iedereen kan inloggen op de IRC, dan remove je toch gewoon die kwaadaardige code?

30-05-2013, 01:26 door Anoniem

@ 0101

The BadBunny, Ruby & Java

Java is ook een programmeertaal voor het uitvoeren van applicaties.
Het JavaVM.framework heb ik om bekend (veronderstelde) redenen inmiddels onklaar gemaakt / verwijderd.

Het aantal cve's voor Ruby on Rails is er naar, voor Ruby en de Mac valt dat nog mee.

Als Ruby on Rails een onderdeel is van het Ruby.framework is het net zoals bij Java denkbaar dat er iemand het accent binnen de Ruby (on Rails) malware-focus iets verlegt.

En voor de inspiratie, een proof of concept Mac-virus met gebruik van Ruby is er al lang (en weer vergeten).
http://www.sophos.com/en-us/press-office/press-releases/2007/05/badbunny.aspx

Bedenk daarbij dat :

- het recyclen van 'old-school' malware al geruime tijd 'in' is
- evenals het gebruik maken van social enginering tactieken
- malware binnenkomt via gebruik van slimme opvolgende combinaties / triggers
- gebruik gemaakt wordt van aanwezige functionaliteit die minder aandacht heeft , of simpelweg niet ge-updated wordt (inmiddels hebben Mac gebruikers wel van Java gehoord, vraag dan eens naar Ruby of Python, beetje eenzelfde verhaal?)
- en in het geval van gebruik van open source office als trigger, bijv. Libre Office aan populariteit wint (gratis vrije office of dat abonnementje nemen?)

Vanuit dat perspectief lijkt het niet geheel ondenkbaar dat een 'oude bekende' route via Ruby nieuw leven wordt ingeblazen (na KitM dan straks bBitM?).

Gedachte is/was : Java eraf, waarom dan alvast Ruby ook niet (geprobeerd)?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer