Злоумышленники взломали rubygems.org
Некто, имеющий явно недобрые намерения, использовал слабые места написанного на Ruby фреймворка через YAML-парсер, чтобы взломать доступ к серверу сайта rubygems.org, представляющего собой каталог модулей для созданных на языке Ruby приложений.
Несмотря на то, что в январе был проведен ряд мер по усилению безопасности работы, именно проблема с безопасным функционированием парсера Psych YAML позволила произвести атаку. Злоумышленники воспользовались интерфейсом обработки метаданных Rubygems, загрузив в каталог свой gem-модуль, в который были заложены метаданные, содержащие блок, эксплуатирующий уязвимость YAML-движка. В процессе обработки содержимого подставного модуля, конфигурация сервера была скопирована и размещена на Pastie (сайт обмена кодом). Такими манипуляциями взломщики пытались получить ключи для сервиса с данными Amazon S3.
Когда факт взлома был обнаружен, сайт перевели в режим обслуживания, удалив аккаунт злоумышленников вместе с фальшивым модулем и заменив ключи для доступа к Amazon S3. Сейчас администраторы проверяют каталоги модулей на наличие вредоносных закладок. Делается это путем проверки их целостности с помощью контрольных сумм, сохраненных ранее, а также сверки содержимого зеркал. Согласно сообщенным данным, проверено уже 90% модулей. Результаты не показали никаких следов модификаций.
На данный момент работа репозитория ограничена, V1 API и Push API не доступны. Восстановлена лишь часть функциональности сайта в режиме для чтения. Некоторые подсистемы все еще заблокированы.