30/05/2013 19:40 GMT+7

Hacker khai thác lỗi ứng dụng web Ruby on Rails

THANH TRỰC

TTO - Các hacker đang khai thác triệt để một lỗi bảo mật nguy hiểm trong nền tảng ứng dụng web Ruby on Rails để thâm nhập các máy chủ web, tạo một mạng "máy tính ma" (*).

* Ruby on Rails có bản vá khắc phục lỗi bảo mật

Phóng to

Ruby on Rails là ứng dụng web khá phổ biến, lỗi bảo mật bị các hacker khai thác chiếm dụng máy chủ web vận hành

Ruby on Rails là một nền tảng mở để phát triển các ứng dụng web dựa trên ngôn ngữ lập trình Ruby, được sử dụng rất phổ biến như các website Hulu, GroupOn, GitHub hay Scribd.

Lỗi được xác định theo mã định danh CVE-2013-0156, có thể bị khai thác để qua mặt các hệ thống chứng thực quyền hạn, thực hiện các cuộc tấn công dạng "SQL Injection" (chèn các câu lệnh gây hại cho cơ sở dữ liệu SQL để thu thập các dữ liệu nhạy cảm phản hồi từ máy chủ) hoặc tấn công - từ chối-dịch vụ (DDoS) vào các ứng dụng trên nền Ruby on Rails.

Bên cạnh đó, các hacker hiện đang bổ sung dạng tấn công mới vào các máy chủ web vận hành ứng dụng trên Ruby on Rails, nhúng vào tập lệnh quản lý hoạt động (cron job) của máy chủ Linux các câu lệnh như: tải một tập tin (mã nguồn C) mã độc từ một máy chủ từ xa, biên dịch và thực thi nó ngay trên máy chủ đang bị tấn công. Mã độc kết nối đến một máy chủ IRC và kênh đặt sẵn, đợi lệnh trực tiếp từ hacker.

Các chuyên gia bảo mật cho biết do không cần qua bước chứng thực nào nên khi mã độc trong vai trò là một bot tham gia mạng IRC và đợi lệnh trong kênh định sẵn, bất cứ ai biết vị trí cũng có thể vào và ra lệnh cho nó thực hiện các tiến trình trên máy chủ bị lây nhiễm.

Một số nhà cung cấp dịch vụ lưu trữ web (web hosting) đã được cảnh báo bị ảnh hưởng bởi lỗi trên.

Nhóm phát triển Ruby on Rails đã phát hành một bản vá bảo mật khắc phục lỗi này với tên mã CVE-2013-0156 từ vài tháng trước, nhưng nhiều quản trị viên điều hành máy chủ chưa cập nhật cho bản cài đặt Rails. Do đó lỗi vẫn đang bị khai thác tràn lan theo cảnh báo từ giới an ninh mạng trong vài ngày qua.

Người dùng cần cập nhật các phiên bản mới nhất của Ruby on Rails trên máy chủ.

Xu hướng tấn công và chiếm dụng các máy chủ web đang phổ biến. Trước đó, các máy chủ Apache thường xuyên bị tấn công bởi loại mã độc mang tên Linux/Cdorked và cũng tấn công máy chủ web Lighhttpd và Nginx.

(*) Máy tính ma, hay còn gọi zombie, là những máy tính của người dùng cá nhân hay công ty bị lây nhiễm mã độc và chịu sự quản lý từ xa của tin tặc. Nhiều "máy tính ma" hình thành nên mạng botnet. Số lượng trong mạng botnet quyết định quy mô và phạm vi của các đợt tấn công. Tin tặc thường sử dụng mạng botnet để tấn công từ chối dịch vụ (DDoS) nhằm làm nghẽn hệ thống đối tượng, hoặc phát tán thư rác để lừa đảo hay trục lợi.