Уязвимость в RoR, зараженные сервера используются в ботнетах

Злоумышленники используют критическую уязвимость в Ruby on Rails для того чтобы получить доступ на сервера и сделать их частью ботнета. Сайт Arstechnica.com впервые сообщил об этой угрозе в начале января, вскоре после того как был выпущен патч для уязвимости. Ars предупредил тогда, что уязвимость дает нападавшим возможность удаленно выполнить вредоносный код на сервере.

Но несмотря на это, многие администраторы серверов до сих пор не установили патч, выпущенный более четырех месяцев назад.

«Серверы, которые были атакованы, использовали зараженное программное обеспечение, которое добавило их к IRC каналам по крайней мере одного из двух серверов», сообщил исследователь безопасности Jeff Jarmoc во вторник на своем личном сайте.

Злоумышленники могут заставить серверы загрузить и выполнить вредоносный код и присоединиться к новым каналам IRC, пишет habrahabr.ru.

При этом каналы не требуют аутентификации, что делает возможным для конкурирующих злоумышленников проникнуть в чаты и взять под контроль взломанные сервера.

Ботнеты, основанные на IRC сетях возвращают нас в прежние времена компьютерных преступлений, потому что они делают взлом легко доступным для «чайников» или относительно неквалифицированных хакеров, позволяющий контролировать огромное количество зараженных машин, используя несколько предварительно запрограммированных команд.

«Короче говоря, это довольно простой эксплоит, который был широко известен, и о котором предупреждали в течение нескольких месяцев», написал Джеф.

В своем сообщении Джеф не сказал, сколько серверов было заражено ботом, в твиттере же он сообщил что взломанные сервера сейчас отключены.

Если вы работаете с Ruby on Rails убедитесь, что у вас установлена одна из версий: 3.2.11, 3.1.10, 3.0.19, 2.3.15 или более поздние, так как они не подвержены атаке. Те, кто не может обновиться прямо сейчас, могут предотвратить атаку, выключив XML или YAML и символьную конвертацию в XML парсере. 

Подобные атаки являются признаком растущей уязвимости серверов, используемых для веб-сайтов и других масштабных задач. За последние несколько месяцев, множество атак позволили получить дистанционное управление Apache, наиболее широко используемого веб-сервера. Три недели назад, атакующими также были скомпрометированы Nginx и Lighttpd. Исследователи до сих пор не знают, как злоумышленники сделали это. Но при этом причина успешных атак на Ruby on Rails сервера ясна, и эксплоиты легко блокировать, но только если админы готовы потратить несколько минут, чтобы решить это.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Сотрудникам Аэрофлота запретили пользоваться смартфонами в офисах

Генеральный директор «Аэрофлота» выпустил указ, согласно которому сотрудникам компании запрещается в рабочее время пользоваться телефонами, которые могут производить фото- и видеосъемку, а также аудиозапись.

Эту информацию опубликовал у себя в Twitter председатель совета благотворительного фонда «Нужна помощь» Митя Алешковский.

Исходя из текста приказа, использовать телефоны в офисах могут лишь сотрудники, занимающие определенные должности. Соответствующие должности перечислены в приложении к документу, которое, к сожалению, Алешковский не опубликовал.

«Приказ принят в рамках российского законодательства и направлен на охрану информационной безопасности в компании с госучастием. Последний информационный вброс, а именно фото данного приказа, сделан с применением камеры мобильного телефона, что свидетельствует о правильности решения», — передают «Ведомости» слова представителя компании.

Работников должны будут ознакомить с этим приказом под роспись, а также руководящий состав должен будет выявлять правонарушения и привлекать к дисциплинарной ответственности виновных. Контроль за исполнением приказа возложен на гендиректора по административному управлению «Аэрофлота» Василия Авилова.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru