Уязвимость в RoR, зараженные сервера используются в ботнетах

Александр Панасенко 30 Мая 2013 - 21:19

...

Злоумышленники используют критическую уязвимость в Ruby on Rails для того чтобы получить доступ на сервера и сделать их частью ботнета. Сайт Arstechnica.com впервые сообщил об этой угрозе в начале января, вскоре после того как был выпущен патч для уязвимости. Ars предупредил тогда, что уязвимость дает нападавшим возможность удаленно выполнить вредоносный код на сервере.

Но несмотря на это, многие администраторы серверов до сих пор не установили патч, выпущенный более четырех месяцев назад.

«Серверы, которые были атакованы, использовали зараженное программное обеспечение, которое добавило их к IRC каналам по крайней мере одного из двух серверов», сообщил исследователь безопасности Jeff Jarmoc во вторник на своем личном сайте.

Злоумышленники могут заставить серверы загрузить и выполнить вредоносный код и присоединиться к новым каналам IRC, пишет habrahabr.ru.

При этом каналы не требуют аутентификации, что делает возможным для конкурирующих злоумышленников проникнуть в чаты и взять под контроль взломанные сервера.

Ботнеты, основанные на IRC сетях возвращают нас в прежние времена компьютерных преступлений, потому что они делают взлом легко доступным для «чайников» или относительно неквалифицированных хакеров, позволяющий контролировать огромное количество зараженных машин, используя несколько предварительно запрограммированных команд.

«Короче говоря, это довольно простой эксплоит, который был широко известен, и о котором предупреждали в течение нескольких месяцев», написал Джеф.

В своем сообщении Джеф не сказал, сколько серверов было заражено ботом, в твиттере же он сообщил что взломанные сервера сейчас отключены.

Если вы работаете с Ruby on Rails убедитесь, что у вас установлена одна из версий: 3.2.11, 3.1.10, 3.0.19, 2.3.15 или более поздние, так как они не подвержены атаке. Те, кто не может обновиться прямо сейчас, могут предотвратить атаку, выключив XML или YAML и символьную конвертацию в XML парсере.

Подобные атаки являются признаком растущей уязвимости серверов, используемых для веб-сайтов и других масштабных задач. За последние несколько месяцев, множество атак позволили получить дистанционное управление Apache, наиболее широко используемого веб-сервера. Три недели назад, атакующими также были скомпрометированы Nginx и Lighttpd. Исследователи до сих пор не знают, как злоумышленники сделали это. Но при этом причина успешных атак на Ruby on Rails сервера ясна, и эксплоиты легко блокировать, но только если админы готовы потратить несколько минут, чтобы решить это.

Следующая главная новость »

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »

Екатерина Быстрова 29 Января 2026 - 11:26

Android Мошенничество Онлайн-мошенничество Домашние пользователи Корпорации Google

Миллионы Android-устройств использовали как прокси, Google всё перекрыла

Google заявила о ликвидации, возможно, крупнейшей в мире сети «домашних» прокси, которая годами незаметно использовала Android-смартфоны, компьютеры и умные устройства обычных пользователей как платные интернет-шлюзы для третьих лиц.

Для этого корпорация получила судебное предписание в США и заблокировала десятки сайтов и серверов компании Ipidea с китайскими корнями, которую Google называет оператором крупнейшей прокси-сети.

Принцип её работы прост и неприятен: трафик посторонних людей и сервисов проксируется через ваше устройство, из-за чего в Сети выглядит так, будто действия совершаются именно с вашего IP-адреса.

По сути, это «Airbnb для интернет-трафика», но без согласия владельца. Большинство пользователей попадали в эту сеть, даже не подозревая об этом: достаточно было установить бесплатное приложение, игру или программу для десктопа, в которую разработчики встроили SDK Ipidea.

После этого устройство автоматически превращалось в выходной узел прокси, а кто-то другой мог использовать его для своих задач — в том числе весьма сомнительных.

Как отмечает Google, встроенная защита Play Protect уже давно умеет выявлять такие приложения, предупреждать пользователей и удалять их, а также блокировать повторную установку. Однако проблема в том, что SDK Ipidea свободно распространялся, а разработчикам платили за каждую установку — поэтому риск случайно наткнуться на такое приложение оставался высоким.

«После встраивания SDK устройство становится выходным узлом прокси-сети, параллельно выполняя заявленные функции приложения», — поясняют в Google.

Опасность таких сетей не теоретическая. В прошлом году исследователи обнаружили уязвимость в миллионах устройств, подключённых к инфраструктуре Ipidea. В результате злоумышленники перехватили управление как минимум двумя миллионами систем, объединив их в гигантский ботнет Kimwolf. Его использовали для мощных DDoS-атак.

По оценке The Wall Street Journal, после действий Google от сети Ipidea было отключено около девяти миллионов Android-устройств. Кроме того, из Google Play удалили сотни приложений, связанных с этой инфраструктурой.

В самой Ipidea с обвинениями не согласны. Представители компании утверждают, что выступают против любой незаконной деятельности и якобы предоставляют услуги исключительно для «легитимного бизнеса». При этом они признали, что раньше использовали агрессивные методы продвижения, включая рекламу на киберпреступных форумах, но заявили, что от таких практик отказались.

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »