ハッカーは、Web サーバーを侵害してボットネットを作成するために、Ruby on Rails Web アプリケーション開発フレームワークの重大な脆弱性を積極的に悪用しています。
Ruby on Rails開発チームは、CVE-2013-0156として知られる脆弱性に対するセキュリティパッチを1月にリリースしました。しかし、一部のサーバー管理者はまだRailsのインストールを更新していません。
Ruby on Rails は、Ruby プログラミング言語に基づいて Web アプリケーションを開発するための人気のフレームワークであり、Hulu、GroupOn、GitHub、Scribd などの Web サイトで使用されています。
「(脆弱性の悪用が)世に出るまでにこれほど長い時間がかかったのはかなり驚きだが、人々がいまだに脆弱なRailsのインストールを実行していることはそれほど驚くべきことではない」と、セキュリティ調査会社マタサノ・セキュリティのセキュリティコンサルタント、ジェフ・ジャーモック氏は火曜日のブログ投稿で述べた。
現在攻撃者が使用しているエクスプロイトは、一連のコマンドを実行するカスタム cron ジョブ (Linux マシン上のスケジュールされたタスク) を追加します。
これらのコマンドは、リモートサーバーから悪意のあるCソースファイルをダウンロードし、ローカルでコンパイルして実行します。結果として生成されるマルウェアはボットとなり、IRC(インターネットリレーチャット)サーバーに接続して事前定義されたチャネルに参加し、攻撃者からのコマンドを待機します。
侵害されたシステムでコンパイル手順が失敗した場合に備えて、マルウェアの事前コンパイル済みバージョンもダウンロードされます。
「機能は限られていますが、コマンドに従ってファイルをダウンロードして実行したり、サーバーを変更したりする機能が含まれています」とJarmoc氏は述べた。「認証は行われないため、野心的な人物であればIRCサーバーに参加して適切なコマンドを発行するだけで、これらのボットをかなり簡単に乗っ取ることができます。」
この脆弱性を利用した悪質な活動に関する報告が最近いくつかの掲示板に投稿され、いくつかのウェブホスティングプロバイダも影響を受けた模様だとジャーモック氏は述べた。
ユーザーは、サーバー上のRuby on Railsを、この脆弱性に対するパッチを含むバージョン3.2.11、3.1.10、3.0.19、または2.3.15以上にアップデートする必要があります。ただし、それ以降に他の重大な脆弱性が修正されているため、使用しているブランチに応じて、利用可能な最新のRailsバージョンにアップデートするのが最善策と考えられます。
攻撃者はWebサーバーをボットネットの一部として利用するために、ますます多くの侵害を行っています。例えば、最近多くのApacheサーバーがLinux/Cdorkedと呼ばれるマルウェアに感染しており、このマルウェアの亜種はLighttpdやNginx Webサーバー向けにも開発されています。
