Η RubyGems έχει αντιμετωπίσει μια κρίσιμη ευπάθεια που θα μπορούσε να είχε επιτρέψει σε οποιονδήποτε χρήστη του RubyGems.org να αφαιρέσει και να αντικαταστήσει ορισμένα πετράδια Ruby.
Μια υπηρεσία φιλοξενίας πακέτων για τη γλώσσα προγραμματισμού Ruby, το RubyGems.org φιλοξενεί περισσότερα από 170.000 πετράδια. Το RubyGems λειτουργεί επίσης ως διαχειριστής πακέτων.
Παρακολούθηση ως CVE-2022-29176, η ευπάθεια που αντιμετωπίστηκε πρόσφατα επηρεάζει την ενέργεια ‘yank’ και θα μπορούσε να γίνει κατάχρηση από οποιονδήποτε χρήστη στο RubyGems.org για την κατάργηση ορισμένων πολύτιμων λίθων από το αποθετήριο.
Ο μη εξουσιοδοτημένος χρήστης θα μπορούσε στη συνέχεια να αντικαταστήσει τα πετράδια με κακόβουλα που έχουν το ίδιο όνομα, τον ίδιο αριθμό έκδοσης και διαφορετική πλατφόρμα.
Σύμφωνα με τους συντηρητές του RubyGems, τα ευάλωτα πακέτα ήταν εκείνα με τουλάχιστον μία παύλα στο όνομά τους, όπου η λέξη πριν από την παύλα ήταν το όνομα ενός πολύτιμου λίθου που ελέγχεται από τον εισβολέα και τα οποία δημιουργήθηκαν εντός 30 ημερών ή δεν είχαν ενημερωθεί για περισσότερες από 100 ημέρες.
«Για παράδειγμα, ο πάροχος του πολύτιμου λίθου θα μπορούσε να είχε εξαγοραστεί από τον ιδιοκτήτη του κάτι στολίδι. Οι οργανισμοί με πολλούς πολύτιμους λίθους δεν ήταν ευάλωτοι εφόσον κατείχαν το στολίδι με το όνομα πριν από την παύλα, για παράδειγμα η κατοχή του orgname του πολύτιμου λίθου προστάτευε όλους τους πολύτιμους λίθους με ονόματα όπως ο παροχέας ονομάτων», εξηγούν.
Η RubyGems δεν πιστεύει ότι η ευπάθεια έχει γίνει αντικείμενο εκμετάλλευσης, δεδομένου ότι όλοι οι ιδιοκτήτες πολύτιμων λίθων ειδοποιούνται όταν δημοσιεύεται ή αφαιρείται μια έκδοση πολύτιμου λίθου και δεν έχουν ληφθεί αναφορές για μη εξουσιοδοτημένη αφαίρεση.
«Ένας έλεγχος των αλλαγών πολύτιμων λίθων τους τελευταίους 18 μήνες δεν βρήκε κανένα παράδειγμα αυτής της ευπάθειας να χρησιμοποιείται με κακόβουλο τρόπο. Ένας βαθύτερος έλεγχος για οποιαδήποτε πιθανή χρήση αυτού του exploit βρίσκεται σε εξέλιξη και θα ενημερώσουμε αυτήν την συμβουλή μόλις ολοκληρωθεί», λέει η RubyGems.
Το πρόβλημα επιλύθηκε με την προσθήκη μιας επιταγής για την επαλήθευση ότι ο χρήστης είναι εξουσιοδοτημένος να έχει πρόσβαση στο στολίδι όταν επιχειρεί να το αποσπάσει, λέει ο.
Αν και δεν έχει εντοπίσει δείκτες κακόβουλης εκμετάλλευσης αυτής της ευπάθειας, η RubyGems ενθαρρύνει όλους τους χρήστες να ελέγχουν τις εφαρμογές τους για ενδείξεις πιθανής παραβίασης
