黑客正在利用Ruby on Rails 網(wǎng)絡(luò)應(yīng)用程序開發(fā)框架的一個嚴重漏洞來危害網(wǎng)絡(luò)服務(wù)器并制造僵尸網(wǎng)絡(luò)。

[[74032]]

早在一月份，Ruby on Rails開發(fā)團隊就公布了一個針對該漏洞的安全補丁，名稱為CVE-2013-0156。但是，一些服務(wù)器管理員還沒有升級他們的Rails設(shè)置。Ruby on Rails基于Ruby編程語言，是一個受歡迎的開發(fā)網(wǎng)絡(luò)應(yīng)用程序框架，現(xiàn)在包括Hulu、GroupOn、GitHub和Scribd在內(nèi)的網(wǎng)站都在使用該框架。

安全研究公司Matasano Security的安全顧問Jeff Jarmoc周四在博客上說，“(攻擊方式)用了這么長時間才為人所知是很讓人驚訝的，但是人們依然在運行易受攻擊的Rails設(shè)置卻并不那么讓人吃驚。”

現(xiàn)在攻擊者使用的攻擊方式是在Linux機器上增添一個定制的cron job——Linux機器上的計劃任務(wù)——該任務(wù)執(zhí)行一系列指令。

這些指令從遠程服務(wù)器下載惡意C源文件，在本地進行編譯和執(zhí)行。形成的惡意軟件是一個機器人程序，連接互聯(lián)網(wǎng)中繼聊天(IRC)服務(wù)器，并加入一個預(yù)先確定的頻道，在該頻道上等待攻擊者的指令。

如果目標系統(tǒng)中的編譯程序出現(xiàn)失敗，一個預(yù)編譯版本的惡意軟件也會被下載下來。

“功能是有限的，但是包括在接受命令后下載和執(zhí)行文件以及改變服務(wù)器的能力。”Jarmoc介紹說，“因為沒有身份認證程序被執(zhí)行，所以有野心的個人能夠通過連接IRC服務(wù)器和發(fā)布合適的指令輕易劫持這些機器人程序。”

最近幾天，幾個論壇上出現(xiàn)了揭露使用該方法的惡意行為的報告，報告也顯示出一些網(wǎng)絡(luò)托管服務(wù)商受到了影響，Jarmoc說。

用戶應(yīng)當將他們服務(wù)器上的Ruby on Rails設(shè)置至少更新至3.2.11、3.1.10、 3.0.19 或2.3.15版本，這些版本包含了針對這一漏洞的補丁。但是，最好的措施也許是根據(jù)所使用的分支更新到最新的版本，因為其他一些嚴重漏洞從那時起已經(jīng)被解決了。

攻擊者正越來越多地危害網(wǎng)絡(luò)服務(wù)器，把這些服務(wù)器變成僵尸網(wǎng)絡(luò)的一部分。例如很多Apache服務(wù)器最近感染了一個稱為Linux/Cdorked的惡意軟件，該惡意軟件針對Lighttpd和Nginx網(wǎng)絡(luò)服務(wù)器的版本也已出現(xiàn)。