Bruker du Ransack i Ruby on Rails? Da bør du sjekke appen din

- Det er det nærmeste vi kommer Hollywood-hacking i terminalen.

Dårlig integrasjon av Ransack-biblioteket i Ruby on Rails-applikasjoner (RoR) kan la ondsinnede hackere stjele informasjon fra backend-databaser. 📸: Maxwell Nelson/Unsplash
Dårlig integrasjon av Ransack-biblioteket i Ruby on Rails-applikasjoner (RoR) kan la ondsinnede hackere stjele informasjon fra backend-databaser. 📸: Maxwell Nelson/Unsplash Vis mer

Dårlig integrasjon av Ransack-biblioteket i Ruby on Rails-applikasjoner kan la ondsinnede hackere stjele informasjon fra backend-databaser, skriver Portswigger.

Ransack lar utviklere legge til objekt-baserte søk til Rails-applikasjoner. At den er enkel å bruke og fleksibel har gjort biblioteket populært, men også problematisk fra et sikkerhetsperspektiv, skriver Portswigger.

Det er sikkerhetsselskapet Positive Security som har funnet sårbarheten, du kan lese de tekniske detaljene her.

Kraftige bruteforce-angrep

Ransack støtter "query conditions for associated objects", og nyttige kommandoer som kan legges til feltnavn for å filtrere resultatene med operatorer som "starts with" eller "contains", skriver Portswigger.

Brukt uten "guardrails" kan denne egenskapen tillate ondsinnede hackere å enkelt hoppe fra domene til domene for å nå backend-databasene. For eksempel, skriver Portswigger, kan en angriper gå fra "the posts table" til "the users table" og forsøker å gjette passordhashen til hver enkelt bruker.

Filtretringesoperatorene lar hackeren gjøre dette raskere ved å gjette verdien til hashen en bokstav om gangen. En enkelt bcrypt passord hash kan bli hentet ut innen få minutter og med mindre enn 2.000 forespørsler, skrier nettstedet.

Flere hundre kan være rammet

Folka i Positive Security har funnet hundrevis av potensielt sårbare sider ved å søke etter Ransack-mønstre i URL-er. Selv om de ikke klarte å verifisere hver eneste kandaidat, klarte de å bekrefte sårbarheten i en rekke nettsider.

Det mest alarmerende funnet var muligheten å bruke Ransack til å ta over administrator-kontoer, skriver Portswigger. Positive Security fant nemlig at man i fablabs.io, en vitenskapsplattform, kunne få tilgang til reset-tokenen til superadmin-passordet.

Populære applikasjoner som Positive Security fant som sårbare var CodeOcean, Pageflow, Active Admin, and openSUE Travel Support Program.

Martin Ingesen mener at sårbarheten er det nærmeste du kommer Hollywood-hacking. 📸: Kovert
Martin Ingesen mener at sårbarheten er det nærmeste du kommer Hollywood-hacking. 📸: Kovert Vis mer

Nærmeste du kommer Hollywood

Ifølge Martin Ingesen, passordknekker og daglig leder i pentester-selskapet Kovert, er det ikke en uvanlig sårbarhet.

- Det er en klassisk "lekk informasjon om ett og ett tegn" SQL-injeksjon, sier han til kode24.

Han legger til at det som kanskje er mest spennende med denne typen sårbarhet er at passordet gradvis avdekkes når det blir utnyttet.

- Det er det nærmeste vi kommer Hollywood-hacking i terminalen, sier Ingesen.