黑客正在利用Ruby on Rails 網絡應用程序開發(fā)框架的一個嚴重漏洞來危害網絡服務器并制造僵尸網絡。

[[74032]]

早在一月份，Ruby on Rails開發(fā)團隊就公布了一個針對該漏洞的安全補丁，名稱為CVE-2013-0156。但是，一些服務器管理員還沒有升級他們的Rails設置。Ruby on Rails基于Ruby編程語言，是一個受歡迎的開發(fā)網絡應用程序框架，現在包括Hulu、GroupOn、GitHub和Scribd在內的網站都在使用該框架。

安全研究公司Matasano Security的安全顧問Jeff Jarmoc周四在博客上說，“(攻擊方式)用了這么長時間才為人所知是很讓人驚訝的，但是人們依然在運行易受攻擊的Rails設置卻并不那么讓人吃驚。”

現在攻擊者使用的攻擊方式是在Linux機器上增添一個定制的cron job——Linux機器上的計劃任務——該任務執(zhí)行一系列指令。

這些指令從遠程服務器下載惡意C源文件，在本地進行編譯和執(zhí)行。形成的惡意軟件是一個機器人程序，連接互聯網中繼聊天(IRC)服務器，并加入一個預先確定的頻道，在該頻道上等待攻擊者的指令。

如果目標系統(tǒng)中的編譯程序出現失敗，一個預編譯版本的惡意軟件也會被下載下來。

“功能是有限的，但是包括在接受命令后下載和執(zhí)行文件以及改變服務器的能力。”Jarmoc介紹說，“因為沒有身份認證程序被執(zhí)行，所以有野心的個人能夠通過連接IRC服務器和發(fā)布合適的指令輕易劫持這些機器人程序。”

最近幾天，幾個論壇上出現了揭露使用該方法的惡意行為的報告，報告也顯示出一些網絡托管服務商受到了影響，Jarmoc說。

用戶應當將他們服務器上的Ruby on Rails設置至少更新至3.2.11、3.1.10、 3.0.19 或2.3.15版本，這些版本包含了針對這一漏洞的補丁。但是，最好的措施也許是根據所使用的分支更新到最新的版本，因為其他一些嚴重漏洞從那時起已經被解決了。

攻擊者正越來越多地危害網絡服務器，把這些服務器變成僵尸網絡的一部分。例如很多Apache服務器最近感染了一個稱為Linux/Cdorked的惡意軟件，該惡意軟件針對Lighttpd和Nginx網絡服務器的版本也已出現。