I ricercatori di Trustwave hanno scoperto una grave vulnerabilità in RubyGems in grado di sfruttare il gestore dei pacchetti della linguaggio di programmazione Ruby per ingannare gli utenti. Questa vulnerabilità può installare malware dai server gemma attaccante controllato.
Il campo di applicazione della vulnerabilità potrebbe raggiungere il maggior numero 1.2 milione di installazioni di software al giorno secondo il calcolo supportati da OpenDNS ricercatore di sicurezza Anthony Kasza. RubyGems è utilizzato da molte aziende tra cui siti di social media, aziende gateway di pagamento e start-up.
Una gemma Ruby è un formato di imballaggio normale usato per trattare le applicazioni di Ruby e librerie. Gli utenti possono scaricare gemme dal server di distribuzione gemma che vengono spinti dai loro sviluppatori.
“Il cliente RubyGems ha un ‘Gem Server Discovery’ funzionalità, che utilizza una richiesta DNS SRV per la ricerca di un server gioiello. Questa funzionalità non richiede che le risposte DNS provengono dallo stesso dominio di sicurezza come la fonte originale gemma, permettendo il reindirizzamento arbitrario ai server gemma attaccante controllato,” i ricercatori hanno spiegato in una Trustwave post sul blog.
La vulnerabilità CVE-2015-3900
Si dà il permesso per l'attaccante per reindirizzare un utente RubyGems che utilizza HTTPS a un server gioiello attaccante controllato. Quindi, verifica HTTPS sulla fonte HTTPS gioiello originale ottiene in modo efficiente rotonda, e l'attaccante può obbligare l'utente a installare gemme dannosi. CVE-2015-3900 riguarda anche tutto ciò che incorpora l'ambiente del cliente come RubyGems JRuby e Rubinius.
Gli utenti sono invitati a fare gli aggiornamenti alle versioni più recenti forniti, ma tenere a mente che il metodo di aggiornamento a una versione fissa di RubyGems potrebbe utilizzare la stessa tecnica vulnerabili. Quindi, è meglio fare l'aggiornamento su una rete sicura.