Pengelola manajer paket RubyGems telah mengatasi kelemahan keamanan kritis yang dapat disalahgunakan untuk menghapus permata dan menggantinya dengan versi jahat dalam keadaan tertentu.
“Karena adanya bug dalam tindakan mencabut, pengguna RubyGems.org dapat menghapus dan mengganti permata tertentu bahkan jika pengguna itu tidak diizinkan untuk melakukannya,” kata RubyGems dalam penasihat keamanan yang diterbitkan pada 6 Mei 2022.
RubyGems, seperti npm untuk JavaScript dan pip untuk Python, adalah pengelola paket dan layanan hosting permata untuk bahasa pemrograman Ruby, menawarkan repositori lebih dari 171.500 perpustakaan.
Singkatnya, cacat yang dimaksud, dilacak sebagai CVE-2022-29176, memungkinkan siapa pun untuk menarik permata tertentu dan mengunggah file yang berbeda dengan nama yang sama, nomor versi yang sama, dan platform yang berbeda.
Agar hal ini terjadi, bagaimanapun, permata harus memiliki satu atau lebih tanda hubung dalam namanya, di mana kata sebelum tanda hubung adalah nama permata yang dikendalikan penyerang, dan yang dibuat dalam waktu 30 hari atau tidak memiliki pembaruan selama lebih dari 100 hari. hari.
“Misalnya, ‘sesuatu-penyedia’ permata bisa saja diambil alih oleh pemilik ‘sesuatu’,” pemilik proyek menjelaskan.
Pengelola proyek mengatakan bahwa tidak ada bukti bahwa kerentanan telah dieksploitasi di alam liar, menambahkan itu tidak menerima email dukungan dari pemilik permata yang memperingatkan mereka tentang penghapusan perpustakaan tanpa otorisasi.
“Audit perubahan permata selama 18 bulan terakhir tidak menemukan contoh kerentanan ini digunakan dengan cara yang jahat,” kata pengelola. “Audit yang lebih dalam untuk kemungkinan penggunaan eksploitasi ini sedang berlangsung.”
Pengungkapan itu muncul ketika NPM mengatasi beberapa kekurangan dalam platformnya yang dapat dipersenjatai untuk memfasilitasi serangan pengambilalihan akun dan menerbitkan paket berbahaya.
Yang utama di antara mereka adalah ancaman rantai pasokan yang disebut penanaman paket yang memungkinkan pelaku jahat untuk menganggap perpustakaan nakal sebagai sah hanya dengan menugaskannya ke pengelola yang tepercaya dan populer tanpa sepengetahuan mereka.