De beheerders van de RubyGems-pakketbeheerder hebben een kritieke beveiligingsfout aangepakt die misbruikt zou kunnen zijn om edelstenen te verwijderen en ze onder bepaalde omstandigheden te vervangen door malafide versies.
“Door een bug in de rukactie was het voor elke RubyGems.org-gebruiker mogelijk om bepaalde edelstenen te verwijderen en te vervangen, zelfs als die gebruiker niet geautoriseerd was om dit te doen,” RubyGems zei in een beveiligingsadvies gepubliceerd op 6 mei 2022.
RubyGems, zoals npm voor JavaScript en pip voor Python, is een pakket manager en een gem-hostingservice voor de programmeertaal Ruby, met een repository van meer dan 171.500 bibliotheken.
In een notendop, de fout in kwestie, bijgehouden als CVE-2022-29176, stelde iedereen in staat om bepaalde edelstenen te trekken en verschillende bestanden te uploaden met dezelfde naam, hetzelfde versienummer en verschillende platforms.
Om dit te laten gebeuren, moest een edelsteen echter een of meer streepjes in zijn naam hebben, waarbij het woord vóór het streepje de naam was van een door een aanvaller gecontroleerde edelsteen, en die binnen 30 dagen werd gemaakt of gedurende meer dan 100 dagen geen updates had gehad. dagen.
“De edelsteen ‘iets-aanbieder’ zou bijvoorbeeld kunnen zijn overgenomen door de eigenaar van de edelsteen ‘iets'”, legden de projecteigenaren uit.
De projectbeheerders zeiden dat er geen bewijs is dat de kwetsbaarheid in het wild is misbruikt, en voegde eraan toe dat het geen ondersteuningsmails heeft ontvangen van eigenaren van edelstenen die hen waarschuwen voor het verwijderen van de bibliotheken zonder toestemming.
“Bij een controle van de veranderingen van edelstenen in de afgelopen 18 maanden zijn geen voorbeelden gevonden van het misbruik van deze kwetsbaarheid op een kwaadaardige manier”, aldus de beheerders. “Er is een diepgaandere audit aan de gang voor elk mogelijk gebruik van deze exploit.”
De onthulling komt op het moment dat NPM verschillende gebreken in zijn platform aanpakte die bewapend konden zijn om aanvallen op accountovernames te vergemakkelijken en kwaadaardige pakketten te publiceren.
De belangrijkste daarvan is een supply chain-bedreiging die pakketplanting wordt genoemd en die kwaadwillende actoren in staat stelt om malafide bibliotheken voor legitiem te laten doorgaan door ze simpelweg toe te wijzen aan vertrouwde, populaire beheerders zonder hun medeweten.
