Эксплойт для последних уязвимостей Ruby on Rails

В последние несколько дней во фреймворке Ruby on Rails («Руби на рельсах») обнаружены и закрыты критические уязвимости с обработкой параметров XML, которые позволяют злоумышленнику осуществить удалённое исполнение кода в любом приложении Ruby on Rails, без аутентификации.

Учитывая опасность последних уязвимостей, всем веб-мастерам рекомендуется срочно сделать апгрейд на последние версии 3.2.11, 3.1.10, 3.0.19 и 2.3.15.

По приблизительным оценкам, в интернете работает около 240 тыс. сайтов на Ruby on Rails.

Наиболее популярные тематические категории — интернет-магазины, бизнес, технологии. Очевидно, что за пару дней далеко не все успеют сделать апгрейд на новую версию Ruby on Rails, а появление действующего эксплойта очень вероятно.

Независимый специалист по безопасности Бен Мёрфи сказал, что уже написал PoC-эксплойт для версий Rails 3.x и Rails 2.x на Ruby 1.9.3, Ruby 1.9.2 и Ruby 1.8.7 и «нет причин полагать, что он не будет работать на других комбинациях Ruby/Rails, поскольку баг присутствует во всех из них.

Технический анализ уязвимости Ruby/Rails см. в статье Феликса Вильхельма, а также у HD Moore. Суть уязвимости в том, что XML-парсер можно обмануть, подсунув потенциально вредоносный объект под видом YAML или Ruby Symbol. В обоих случаях возможна SQL-инъекция или удалённое исполнение кода.

Вот пример, который наглядно демонстрирует уязвимость. Отправим серверу RoR следующий POST-запрос, указав заголовок Content-Type как "text/xml":

<?xml version="1.0" encoding="UTF-8"?>
<bang type="yaml">--- !ruby/object:Time {}
</bang>

На серверной стороне этот запрос декодируется как реальный объект Time:

Parameters: {"bang"=>1969-12-31 18:00:00 -0600}

HD Moore уже близок к написанию эксплойта и может выложить его в открытый доступ. В этом случае кто угодно сможет стянуть базы данных с одного из сотен тысяч сайтов на Ruby on Rails, поставить там бэкдор или осуществить иные модификации внутренней инфраструктуры компании.

Среди известных сайтов, которые работают на Ruby on Rails — Github, Yammer, Scribd, Groupon, Shopify и Basecamp. На Ruby написан известный фреймворк для пентестинга Metasplot, а на «рельсах» работают интерфейсы Metasploit Pro, Express и Community.

Категория: Материалы сайта
Постоянная ссылка