Hackers maken botnet van Ruby on Rails-servers
Cybercriminelen gebruiken een ernstig beveiligingslek in Ruby on Rails om een botnet van servers te maken. Rails is een open source framework voor het ontwikkelen van webapplicaties voor de Ruby programmeertaal. Volgens de website builtwith.com zouden meer dan 240.000 websites Ruby on Rails gebruiken. Via de kwetsbaarheid konden aanvallers willekeurige code uitvoeren.
Een patch voor het probleem verscheen begin januari, alweer vijf maanden geleden. Toch blijken veel systeembeheerders de patch niet te hebben uitgerold, waardoor cybercriminelen nu hun slag slaan. Die kapen de servers en maken ze onderdeel van een botnet, dat via een IRC-server wordt bestuurd.
IRC-server
Aangezien er geen authenticatie plaatsvindt, kan iedereen zich op de IRC-server aanmelden en de besmette servers opdrachten geven, aldus onderzoeker Jeff Jarmoc, die het nieuws over het nieuwe server-botnet naar buiten bracht. Ook Jarmoc benadrukt dat zowel het probleem, als de update die het lek oplost, al maanden bekend zijn.
Om dit security nieuws te kunnen bijbenen wat vragen door een stapje terug te doen.
Bij Mac OS X wordt Ruby (on Rails) integraal meegeleverd.
Bijvoorbeeld :
Ruby - hd/Library/Ruby
Ruby.framework - hd/System/Library/Frameworks/Ruby.framework
RubyCocoa.framework - hd/System/Library/Frameworks/RubyCocoa.framework
Rails - te vinden in het Ruby.framework
Ik heb echter geen idee welke applicaties (buiten het zeer nuttige Textwrangler) daarvan gebruik maken.
Zover mijn kennis reikt wordt Ruby niet actief geupdated (laat staan bij oudere versies van OS X 10.4 / 10.5 / 10.6).
Wie kan mij vertellen :
1) in hoeverre dit een security risico voor OS X is en op welk gebied.
2) welke meer reguliere programma's onder OS X zonder Ruby niet werken.
3) wat de consequenties zijn van het verwijderen van bijvoorbeeld 'Ruby' uit de algemene Library folder en de consequenties daarvan.
4) of zelfs het verwijderen van het "Ruby.framework" of het "RubyCocoa.framework" uit de System Library.
De waarschuwingen rondom de 4e vraag heb ik wel gezien op o.a. stackoverflow, ondanks Mac ervaring niet technisch onderlegd genoeg om de reikwijdte binnen Mac OS X te kunnen overzien.
Op zich heb ik zich nog wel een Mac over om dat via trial-&-error-methode te testen.
Maar als iemand al antwoorden op bovenstaande vragen heeft scheelt dat weer heel wat testtijd
en kunnen andere Mac/linux gebruikers hier misschien ook hun voordeel mee doen.
Ben benieuwd.
Ruby != Ruby on Rails.
Ruby on Rails is een web framework geschreven in Ruby. Ruby is een programmeertaal. De bestanden op je Mac zijn voor het uitvoeren van applicaties die in Ruby geschreven zijn, en hebben verder niets te maken met Ruby on Rails. Je kunt ze dus gerust laten staan.
The BadBunny, Ruby & Java
Java is ook een programmeertaal voor het uitvoeren van applicaties.
Het JavaVM.framework heb ik om bekend (veronderstelde) redenen inmiddels onklaar gemaakt / verwijderd.
Het aantal cve's voor Ruby on Rails is er naar, voor Ruby en de Mac valt dat nog mee.
Als Ruby on Rails een onderdeel is van het Ruby.framework is het net zoals bij Java denkbaar dat er iemand het accent binnen de Ruby (on Rails) malware-focus iets verlegt.
En voor de inspiratie, een proof of concept Mac-virus met gebruik van Ruby is er al lang (en weer vergeten).
http://www.sophos.com/en-us/press-office/press-releases/2007/05/badbunny.aspx
Bedenk daarbij dat :
- het recyclen van 'old-school' malware al geruime tijd 'in' is
- evenals het gebruik maken van social enginering tactieken
- malware binnenkomt via gebruik van slimme opvolgende combinaties / triggers
- gebruik gemaakt wordt van aanwezige functionaliteit die minder aandacht heeft , of simpelweg niet ge-updated wordt (inmiddels hebben Mac gebruikers wel van Java gehoord, vraag dan eens naar Ruby of Python, beetje eenzelfde verhaal?)
- en in het geval van gebruik van open source office als trigger, bijv. Libre Office aan populariteit wint (gratis vrije office of dat abonnementje nemen?)
Vanuit dat perspectief lijkt het niet geheel ondenkbaar dat een 'oude bekende' route via Ruby nieuw leven wordt ingeblazen (na KitM dan straks bBitM?).
Gedachte is/was : Java eraf, waarom dan alvast Ruby ook niet (geprobeerd)?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.