Backdoor in RubyGem die wachtwoordsterkte controleert

[Captain Kirk]

In een RubyGem waarmee applicaties de sterkte van de wachtwoorden van hun gebruikers kunnen meten is een backdoor aangetroffen. Het gaat om de RubyGem StrongPassword. RubyGems zijn packages die een Ruby-applicatie of -library bevatten en eenvoudig door andere software zijn te gebruiken.

Onlangs verscheen er op RubyGems.org, de officiële RubyGems-repository, een nieuwe versie van StrongPassword. Via RubyGems.org kunnen ontwikkelaars allerlei libraries downloaden en binnen hun applicatie gebruiken. In het geval van StrongPassword was er geen melding gemaakt van aanpassingen in de nieuwe versie. Webontwikkelaar Tute Costa analyseerde de nieuwe versie en ontdekte een backdoor waardoor een aanvaller op afstand code kan uitvoeren.

Costa waarschuwde de ontwikkelaar. Die liet weten dat iemand de controle over StrongPassword op RubyGems.org had gekregen en zodoende een malafide nieuwe versie kon aanbieden. Costa informeerde ook de security-coördinator van Ruby on Rails, waarna de malafide versie werd verwijderd en de oorspronkelijke ontwikkelaar weer controle over StrongPassword kreeg. Inmiddels was de gebackdoorde versie 537 keer gedownload.

Hoe de aanvaller controle over de RubyGem wist te krijgen is niet bekendgemaakt. Op Hacker News vragen verschillende mensen dan ook om een uitleg van RubyGems.org over de aanval. In april werd er in een andere Ruby-library op de website ook een backdoor aangetroffen.

 

 

bron: security.nl