Las instalaciones del framework de desarrollo de aplicaciones web Ruby on Rails, están sufriendo estos días un ataque masivo para aprovechar una vulnerabilidad ya publicada en Enero y calificada como extremadamente crítica, pero que sigue estando presente en muchos servidores y que está siendo aprovechada para hackear los respectivos servidores web y crear botnets con los mismos.
Unos cinco meses han pasado desde que el equipo de desarrollo de Ruby on Rails publicara una actualización de seguridad para la vulnerabilidad CVE-2013-0156, pero como ocurre en el 100% de los casos ninguna vulnerabilidad es completamente corregida tan rápido como seria deseable y a estas alturas existen multitud de servidores con esta vulnerabilidad presente y que está siendo aprovechada por hackers.
Los servidores web son presas apreciadas por los hackers, debido a su uptime, ancho de banda asignado, puertos abiertos.. por lo que no es de extrañar que una vez alguien consiguiera explotar esta vulnerabilidad de forma efectiva, la voz se corriera y en estos momentos se haya convertido en una peligrosa moda para los administradores que no hayan estado atentos a las actualizaciones de Ruby on Rails.
Por lo que se ha podido identificar por el momento, durante el proceso de explotación se ejecutan automaticamente una serie de comandos entre los que se encuentra la descarga de un fichero fuente de C que se compila y ejecuta localmente. Esta compilación crea un malware que se conecta a un canal IRC donde espera ordenes. Esta técnica se lleva usando desde hace muchos años y es relativamente sencilla de aplicar aunque no excesivamente segura al depender de la seguridad del propio canal del IRC..por ejemplo en este caso incluso parece que los bots carecen de proceso de autenticación... por lo que cualquiera con acceso a este canal (aunque posiblemente esté encriptado y con contraseña) podría ejecutar órdenes sobre los bots, tarea realmente divertida para el "voyeur".
Fuente Slashdot
