Het lek CVE-2013-0156 dat in januari in Ruby on Rails werd ontdekt, wordt nu actief misbruikt om een botnet van servers op te zetten.
Ruby on Rails is een open source framework wat wordt gebruikt om sneller en eenvoudiger applicaties te ontwikkelen. Het framework wordt onder anderen gebruikt voor DigiD.
Een Proof of Concept voor de exploit is gepubliceerd op de GitHub pagina’s van Rapid 7 en Ronin. Volgens HD Moore, de ontwikkelaar van Metasploit, is dit het meest kritische lek in Ruby on Rails dat nu bekend is.
De exploit start een IRC chat relay bot die verbinding zoekt met IP adres 188.190.124.81, om vervolgens lid te worden van het IRC-kanaal #rails. Via dit kanaal worden commando’s aan alle geïnfecteerde servers gegeven.
De functionaliteit van de exploit is beperkt, maar stelt de aanvaller in staat om willekeurige code te downloaden en uit te voeren op de getroffen machines. Opvallend is dat de exploit geen authenticatie kent. Iedereen die lid wordt van het #rails kanaal op IRC kan het botnet commando’s geven.
Volgens beveiligingsonderzoeker Jeff Jarmoc is deze kwetsbaarheid tot dusver nog niet grootschalig misbruikt. Volgens Jarmoc worden drie Command & Control (C&C) servers gebruikt, die op dit moment uit de lucht zijn. Via de gebruikte domeinen werd eerder andere malware verspreid.
Veel servers met het Ruby on Rails framework draaien nog een verouderde versie waarin de kwetsbaarheid aanwezig is. Op 8 januari is een beveiligingsupdate (patch) voor het Ruby on Rails framework gepubliceerd. Gebruikers wordt dringend aangeraden te upgraden naar een niet-kwetsbare versie, waaronder 3.2.11, 3.1.10, 3.0.19 en 2.3.15.