Les responsables du gestionnaire de packages RubyGems ont corrigé une faille de sécurité critique qui aurait pu être utilisée de manière abusive pour supprimer des gemmes et les remplacer par des versions malveillantes dans des circonstances spécifiques.
« En raison d’un bogue dans l’action Yank, il était possible pour tout utilisateur de RubyGems.org de supprimer et de remplacer certaines gemmes même si cet utilisateur n’était pas autorisé à le faire », RubyGems mentionné dans un avis de sécurité publié le 6 mai 2022.
RubyGems, comme npm pour JavaScript et pip pour Python, est un directeur chargé d’emballage et un service d’hébergement de gemmes pour le langage de programmation Ruby, offrant un référentiel de plus de 171 500 bibliothèques.
En un mot, la faille en question, identifiée comme CVE-2022-29176, permettait à quiconque d’extraire certaines gemmes et de télécharger différents fichiers avec le même nom, le même numéro de version et différentes plates-formes.
Pour que cela se produise, cependant, une gemme devait avoir un ou plusieurs tirets dans son nom, où le mot avant le tiret était le nom d’une gemme contrôlée par l’attaquant, et qui a été créée dans les 30 jours ou n’a pas eu de mises à jour depuis plus de 100 jours. jours.
« Par exemple, la gemme ‘fournisseur de quelque chose’ aurait pu être reprise par le propriétaire de la gemme ‘quelque chose' », ont expliqué les propriétaires du projet.
Les responsables du projet ont déclaré qu’il n’y avait aucune preuve que la vulnérabilité ait été exploitée dans la nature, ajoutant qu’ils n’avaient reçu aucun e-mail d’assistance des propriétaires de gemmes les alertant de la suppression des bibliothèques sans autorisation.
« Un audit des modifications apportées aux gemmes au cours des 18 derniers mois n’a trouvé aucun exemple d’utilisation malveillante de cette vulnérabilité », ont déclaré les responsables. « Un audit plus approfondi pour toute utilisation possible de cet exploit est en cours. »
La divulgation intervient alors que NPM a corrigé plusieurs failles de sa plate-forme qui auraient pu être militarisées pour faciliter les attaques de prise de contrôle de compte et publier des packages malveillants.
Le principal d’entre eux est une menace de la chaîne d’approvisionnement appelée plantation de paquets qui permet aux acteurs malveillants de faire passer les bibliothèques escrocs pour légitimes simplement en les attribuant à des mainteneurs de confiance et populaires à leur insu.