Die Betreuer des RubyGems-Paketmanagers haben eine kritische Sicherheitslücke behoben, die dazu missbraucht werden konnte, Gems zu entfernen und sie unter bestimmten Umständen durch gefälschte Versionen zu ersetzen.
„Aufgrund eines Fehlers in der yank-Aktion war es jedem RubyGems.org-Benutzer möglich, bestimmte Gems zu entfernen und zu ersetzen, auch wenn er dazu nicht berechtigt war“, so RubyGems in einem Sicherheitshinweis, der am 6. Mai 2022 veröffentlicht wurde.
RubyGems ist, wie npm für JavaScript und pip für Python, ein Paketmanager und ein Gem-Hosting-Dienst für die Programmiersprache Ruby, der ein Repository mit mehr als 171.500 Bibliotheken anbietet.
Die Sicherheitslücke mit der Bezeichnung CVE-2022-29176 ermöglichte es jedem, bestimmte Gems zu nutzen und verschiedene Dateien mit demselben Namen, derselben Versionsnummer und für verschiedene Plattformen hochzuladen.
Dazu musste ein Edelstein einen oder mehrere Bindestriche in seinem Namen haben, wobei das Wort vor dem Bindestrich der Name eines vom Angreifer kontrollierten Edelsteins sein musste, der innerhalb von 30 Tagen erstellt wurde oder seit mehr als 100 Tagen keine Updates mehr hatte.
„Zum Beispiel könnte der Edelstein ’something-provider‘ vom Besitzer des Edelsteins ’something‘ übernommen worden sein“, erklären die Projektverantwortlichen.
Die Projektbetreuer sagten, dass es keine Beweise dafür gibt, dass die Sicherheitslücke in freier Wildbahn ausgenutzt wurde und fügten hinzu, dass sie keine Support-E-Mails von den Besitzern der Gems erhalten haben, in denen sie auf die unberechtigte Entfernung der Bibliotheken hingewiesen wurden.
„Eine Überprüfung der Gem-Änderungen der letzten 18 Monate hat keine Beispiele dafür ergeben, dass diese Sicherheitslücke auf bösartige Weise ausgenutzt wurde“, so die Betreuer. „Eine genauere Prüfung auf eine mögliche Nutzung dieser Schwachstelle ist im Gange.
Die Enthüllung erfolgt zu einem Zeitpunkt, an dem NPM mehrere Schwachstellen in seiner Plattform behoben hat, die für Account-Takeover-Angriffe und die Veröffentlichung bösartiger Pakete hätten genutzt werden können.
Dazu gehört vor allem eine Bedrohung in der Lieferkette, das so genannte „Package Planting“, das es böswilligen Akteuren ermöglicht, gefälschte Bibliotheken als legitim auszugeben, indem sie sie ohne deren Wissen vertrauenswürdigen und beliebten Betreuern zuweisen.