Những người bảo trì trình quản lý gói RubyGems đã giải quyết một lỗ hổng bảo mật nghiêm trọng có thể bị lạm dụng để loại bỏ đá quý và thay thế chúng bằng các phiên bản giả mạo trong các trường hợp cụ thể.
RubyGems cho biết trong một lời khuyên bảo mật được công bố vào ngày 6 tháng 5 năm 2022, do một lỗi trong hành động giật, bất kỳ người dùng nào của RubyGems.org cũng có thể xóa và thay thế một số viên ngọc nhất định ngay cả khi người dùng đó không được phép làm như vậy.
RubyGems, như npm cho JavaScript và pip cho Python, là một trình quản lý gói và dịch vụ lưu trữ đá quý cho ngôn ngữ lập trình Ruby, cung cấp một kho lưu trữ hơn 171.500 thư viện.
Tóm lại, lỗ hổng được đề cập, được theo dõi là CVE-2022-29176, cho phép bất kỳ ai có thể lấy một số viên ngọc nhất định và tải lên các tệp khác nhau có cùng tên, cùng số phiên bản và các nền tảng khác nhau.
Tuy nhiên, để điều này xảy ra, một viên đá quý cần phải có một hoặc nhiều dấu gạch ngang trong tên của nó, trong đó từ trước dấu gạch ngang là tên của viên đá quý do kẻ tấn công kiểm soát và được tạo trong vòng 30 ngày hoặc không có bản cập nhật nào trong hơn 100 ngày.
“Ví dụ, đá quý ‘nhà cung cấp thứ gì đó' có thể đã bị chủ sở hữu của viên đá quý ‘thứ gì đó tiếp quản”, chủ dự án giải thích.
Những người duy trì dự án cho biết không có bằng chứng cho thấy lỗ hổng bảo mật đã bị khai thác trong tự nhiên, thêm vào đó họ không nhận được bất kỳ email hỗ trợ nào từ các chủ sở hữu đá quý thông báo họ về việc xóa các thư viện mà không được phép.
Các nhà bảo trì cho biết: “Một cuộc kiểm tra các thay đổi về đá quý trong 18 tháng qua đã không tìm thấy bất kỳ ví dụ nào về việc lỗ hổng này được sử dụng theo cách độc hại”. “Việc kiểm tra sâu hơn đối với bất kỳ hoạt động sử dụng có thể có của khai thác này đang diễn ra.”
Tiết lộ được đưa ra khi NPM giải quyết một số lỗ hổng trong nền tảng của nó mà có thể đã được vũ khí hóa để tạo điều kiện cho các cuộc tấn công chiếm đoạt tài khoản và xuất bản các gói độc hại.
Đứng đầu trong số đó là một mối đe dọa chuỗi cung ứng được gọi là trồng gói cho phép các tác nhân độc hại chuyển thư viện giả mạo là hợp pháp chỉ bằng cách chỉ định chúng cho những người bảo trì phổ biến, đáng tin cậy mà họ không biết.
.
