黑客正在利用Ruby on Rails 網絡應用程序開發框架的一個嚴重漏洞來危害網絡服務器並制造僵屍網絡。
早在一月份,Ruby on Rails開發團隊就公佈瞭一個針對該漏洞的安全補丁,名稱為CVE-2013-0156。但是,一些服務器管理員還沒有升級他們的Rails設置。Ruby on Rails基於Ruby編程語言,是一個受歡迎的開發網絡應用程序框架,現在包括Hulu、GroupOn、GitHub和Scribd在內的網站都在使用該框架。
安全研究公司Matasano Security的安全顧問Jeff Jarmoc周四在博客上說,“(攻擊方式)用瞭這麼長時間才為人所知是很讓人驚訝的,但是人們依然在運行易受攻擊的Rails設置卻並不那麼讓人吃驚。”
現在攻擊者使用的攻擊方式是在Linux機器上增添一個定制的cron job——Linux機器上的計劃任務——該任務執行一系列指令。
這些指令從遠程服務器下載惡意C源文件,在本地進行編譯和執行。形成的惡意軟件是一個機器人程序,連接互聯網中繼聊天(IRC)服務器,並加入一個預先確定的頻道,在該頻道上等待攻擊者的指令。
如果目標系統中的編譯程序出現失敗,一個預編譯版本的惡意軟件也會被下載下來。
“功能是有限的,但是包括在接受命令後下載和執行文件以及改變服務器的能力。”Jarmoc介紹說,“因為沒有身份認證程序被執行,所以有野心的個人能夠通過連接IRC服務器和發佈合適的指令輕易劫持這些機器人程序。”
最近幾天,幾個論壇上出現瞭揭露使用該方法的惡意行為的報告,報告也顯示出一些網絡托管服務商受到瞭影響,Jarmoc說。
用戶應當將他們服務器上的Ruby on Rails設置至少更新至3.2.11、3.1.10、 3.0.19 或2.3.15版本,這些版本包含瞭針對這一漏洞的補丁。但是,最好的措施也許是根據所使用的分支更新到最新的版本,因為其他一些嚴重漏洞從那時起已經被解決瞭。
攻擊者正越來越多地危害網絡服務器,把這些服務器變成僵屍網絡的一部分。例如很多Apache服務器最近感染瞭一個稱為Linux/Cdorked的惡意軟件,該惡意軟件針對Lighttpd和Nginx網絡服務器的版本也已出現。
Orignal From: 黑客用Ruby on Rails漏洞危害服務器
留言列表
