به گزارش
گرداب، به گفته شرکت امنیتی سینک (Synk)، نسخه مخرب ابزار توسعه وب «Bootstrap-Sass» روی مخزن رسمی «RubyGems» منتشر شده است.
محققان یک تهدید درِ پشتی (backdoor) کشف کردند که باعث میشود هکرها دستور اجرای راه دور را در برنامههای سروری «Rails» انجام دهند.
شرکت سینک، در یک بیانیه امنیتی توضیح داد که آسیب پذیری در نسخه 3.2.0.3 ابزاری کاملاً پنهان شده است و درنتیجه مهاجمان میتوانند از راه دور بهصورت پویا، کد اجرایی را در سرورهای میزبان نسخههای آسیبپذیر اجرا کنند.
بسته بوت استرپ مبتنی بر Sass بسیار محبوب است و بدافزار درِ پشتی احتمالاً روی حجم وسیعی از کاربران تأثیر میگذارد. وبگاه گیتهاب (GitHub) بیش از 12 هزار بار مشاهده و در مجموع از آن، بیش از 27 میلیون بار دانلود شده است. نسخه فعلی به نام 3.4.1 نیز بیش از 217 هزار بار دانلود شده است.
تجزیه و تحلیلها نشان میدهند که تقریباً 1670 مخزن گیتهاب، با کاربرد مستقیم، در معرض کتابخانه مخرب قرار گرفته است. این رقم، با افزایش تعداد دفعات استفاده در برنامههای کاربردی، به عنوان یک وابستگی متغیر افزایش خواهد داشت.
درِ پشتی در فایلی به نام «lib/active-controller/middleware.rb» پنهان شده بود که به گفته سینک، به یک ماژول رابی دیگر متصل میشود و آن را تغییر میدهد، بهطوری که موارد خاص ارسال شده ازسوی مشتری «Base64»، رمزگشایی و در زمان اجرا ارزیابی میشوند؛ تا اجازه اجرای از راه دور کد بهطور مؤثر میسر شود.
شرکت امنیتی یادشده اظهار داشت:
" با وجود مخفی بودن هویت مهاجمان، آنها اعتبار را برای انتشار بسته مخرب «RubyGems» از یکی از 2 نگهدارنده بهدست میآورند. نسخه مخرب از RubyGems حذف شده است و نگهدارندهها تغییر اعتباراتشان را تأیید کردهاند. "
کارشناسان سینک خاطرنشان کردند:
" ما قبلاً آسیبپذیری را به پایگاه داده خود اضافه کردهایم و اگر پروژه شما تحت نظارت شرکت سینک و در صورتی که برنامه شما حاوی بسته مخرب باشد، از هشدارهای روزانه ما مطلع خواهید شد. درغیر این صورت، باید بهصورت رایگان آزمایش کنید؛ تا از احتمال آلوده شدن مخزن کد برنامه کاربردی خود با سینک مطمئن شوید. "
این شرکت افزود:
" اگر متوجه شدید که برنامه Rails درحال استفاده از پروژه آسیبپذیر است، سریعاً اقدام و نسخه آسیب دیده (3.2.0.3) را با نسخه مجدد منتشرشده (3.2.0.4) به عنوان اولین پاسخ بدون نیاز به ارتقای نسخه اصلی جایگزین کنید."