Giriş
Cybersecurity araştırmacıları, RubyGems deposunu hedef alan GemStuffer adlı yeni bir kampanyaya dikkat çekiyor. Bu kampanya, 150’den fazla gem ile veri dışa aktarma kanalı olarak kullanılmakta ve bu durum ciddi bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
GemStuffer kampanyası, RubyGems’i veri toplama ve depolama için kullanıyor. Saldırının temel dinamikleri şu şekildedir:
- Saldırı, İngiltere hükümetinin yerel hizmet portallarından bilgi toplayarak başlıyor.
- Toplanan veriler .gem uzantılı arşivler içerisinde paketleniyor ve tekrar RubyGems’e yayımlanıyor.
- Saldırganlar, RubyGems API anahtarlarını kullanarak bu işlemi gerçekleştiriyor.
Yüklenici portallarından veri çekmekte kullanılan URL’ler ise sabit kodlanmış durumdadır.
Etkilenen Sistemler
GemStuffer, Lambeth, Wandsworth ve Southwark şehirlerinin ModernGov portallarını hedef almaktadır. Toplanan bilgiler arasında:
- Komite toplantı takvimleri
- Gündem maddeleri listeleri
- İlgili PDF belgeleri
- Yetkililerin iletişim bilgileri
- RSS beslemeleri
Bu tür bilgilerin genel olarak erişilebilir olması, saldırının nihai amacını belirsiz kılmaktadır.
Çözüm ve Korunma
Socket tarafından yapılan değerlendirmeye göre, bu sistematik veri toplama işlemi devlet altyapısına karşı bir yetenek gösterme aracı olarak kullanılabilir. Dolayısıyla, şu önlemlerin alınması şiddetle önerilmektedir:
- RubyGems kayıtlı kullanıcılarının API anahtarlarını kontrol etmeleri ve gerektiğinde bu anahtarları sıfırlamaları.
- Uygulama güvenlik önlemlerinin gözden geçirilmesi ve güncellenmesi.
- RubyGems üzerinde yeni yayınlanan gem’lerin dikkatli bir şekilde incelenmesi.
Kampanyanın tehlikeleri göz önüne alındığında, güncellemeleri yapmanız ve portları kapatmanız kritik önem taşımaktadır.
