Une faille critique du framework de développement web Ruby on Rails est actuellement exploitée pour compromettre des serveurs web et créer un botnet. L'équipe de développement du projet Open Source a pourtant livré en janvier dernier un correctif de sécurité pour cette vulnérabilité (numérotée CVE-2013-0156), mais certains administrateurs n'ont pas encore mis leurs installations à jour.

Dans un billet, Jeff Jarmoc, consultant pour Matasano Security, trouve assez surprenant qu'il ait fallu autant de temps pour voir la faille exploitée. Les attaquants s'en servent pour ajouter une tâche programmée sur les machines Linux qui exécute une séquence de commandes. Ces dernières téléchargent un fichier source en C depuis un serveur distant, le compile localement et l'exécute. Le malware qui en résulte se connecte sur un serveur IRC (Internet Relay Chat), sur un canal prédéfini qui attend les commandes des attaquants, explique notre confrère Lucian Constantin, d'IDG News Service.

Mise à jour conseillée à partir de la dernière version de Rail

Une version précompilée du malware est aussi téléchargée au cas où la procédure de compilation échouerait sur le système compromis. Selon Jeff Jarmoc, la fonctionnalité est limitée, mais elle inclut la possibilité de télécharger et d'exécuter des fichiers et de modifier les serveurs. Il n'y a pas d'authentification et il est donc possible de détourner ces programmes robots assez facilement en se connectant sur le serveur IRC et en lançant les commandes appropriées. Plusieurs groupes de discussion en ont fait mention ces derniers jours et il semble que certains fournisseurs d'hébergement web ont été affectés, indiquent encore Jeff Jarmoc.

Les utilisateurs doivent mettre à jour leurs installations Ruby on Rails sur leurs serveurs avec les dernières versions 3.2.11, 3.1.10, 3.0.19 or 2.3.15 qui contiennent le correctif pour cette faille. Mais la meilleure parade est sans doute de mettre à jour à partir des plus récentes versions de Rail, selon la branche utilisée, puisque d'autres failles peuvent avoir été corrigées depuis. De plus en plus souvent, des attaquants compromettent des serveurs web pour créer des botnets. De nombreux serveurs Apache ont été récemment infectés par un malware dénommé Linux/Cdorked dont certaines versions ont été aussi développées pour les serveurs web Lighttpd et Nginx.

Ruby on Rails est un framework très utilisé par ceux qui conçoivent des applications web s'appuyant sur le langage de programmation Ruby. Les sites Hulu, GroupOn, GitHub et Scribd s'en servent notamment.