黑客正在利用Ruby on Rails 网络应用程序开发框架的一个严重漏洞来危害网络服务器并制造僵尸网络。
早在一月份,Ruby on Rails开发团队就公布了一个针对该漏洞的安全补丁,名称为CVE-2013-0156。但是,一些服务器管理员还没有升级他们的Rails设置。Ruby on Rails基于Ruby编程语言,是一个受欢迎的开发网络应用程序框架,现在包括Hulu、GroupOn、GitHub和Scribd在内的网站都在使用该框架。
安全研究公司Matasano Security的安全顾问Jeff Jarmoc周四在博客上说,“(攻击方式)用了这么长时间才为人所知是很让人惊讶的,但是人们依然在运行易受攻击的Rails设置却并不那么让人吃惊。”
现在攻击者使用的攻击方式是在Linux机器上增添一个定制的cron job——Linux机器上的计划任务——该任务执行一系列指令。
这些指令从远程服务器下载恶意C源文件,在本地进行编译和执行。形成的恶意软件是一个机器人程序,连接互联网中继聊天(IRC)服务器,并加入一个预先确定的频道,在该频道上等待攻击者的指令。
如果目标系统中的编译程序出现失败,一个预编译版本的恶意软件也会被下载下来。
“功能是有限的,但是包括在接受命令后下载和执行文件以及改变服务器的能力。”Jarmoc介绍说,“因为没有身份认证程序被执行,所以有野心的个人能够通过连接IRC服务器和发布合适的指令轻易劫持这些机器人程序。”
最近几天,几个论坛上出现了揭露使用该方法的恶意行为的报告,报告也显示出一些网络托管服务商受到了影响,Jarmoc说。
用户应当将他们服务器上的Ruby on Rails设置至少更新至3.2.11、3.1.10、 3.0.19 或2.3.15版本,这些版本包含了针对这一漏洞的补丁。但是,最好的措施也许是根据所使用的分支更新到最新的版本,因为其他一些严重漏洞从那时起已经被解决了。
攻击者正越来越多地危害网络服务器,把这些服务器变成僵尸网络的一部分。例如很多Apache服务器最近感染了一个称为Linux/Cdorked的恶意软件,该恶意软件针对Lighttpd和Nginx网络服务器的版本也已出现。
