Puerta trasera en Bootstrap-Sass para Ruby

Una versión de la popular librería Bootstrap-Sass para Ruby contenía código malicioso que podría permitir la ejecución remota de código en aquellos proyectos que la integrasen.

Bootstrap es uno de los frameworks CSS más famosos y más utilizados en el desarrollo de sitios y aplicaciones web. Bootstrap utiliza por defecto el preprocesador Less, sin embargo mantiene una versión de Sass en el repositorio Github.

El desarrollador de software Derek Barnes se percató hace unos días de que alguien había eliminado una versión de la librería Bootstrap-Sass, concretamente la versión v3.2.0.2, para a continuación lanzar una versión nueva: la v3.2.0.3. Este hecho, que puede resultar poco particular, se torno sospechoso al comprobar que dicha actualización únicamente se había realizado en RubyGems, un repositorio popular para las librerías de Ruby, pero no en GitHub que es el repositorio donde se administra el código fuente de Bootstrap-Sass.

Un análisis detallado del código agregado en dicha actualización permitió descubrir una parte curiosa: se había añadido una puerta trasera o backdoor en el código fuente, y una vez integrado en una aplicación Ruby o Ruby on Rails, se cargaría un archivo de cookie y se ejecutaría su contenido.

Fuente: Github

Derek advirtió en Github de la naturaleza maliciosa de dicha actualización y tan sólo una hora después la versión de Bootstrap-Sass afectada fue retirada del repositorio RubyGems, y se revocó el acceso al desarrollador cuya cuenta pudo haber sido comprometida y utilizada para agregar el código malicioso. A pesar de la rápida actuación y de que se trata de una rama antigua (la última versión es la v3.4.1), la versión con la puerta trasera fue descargada aproximadamente 1500 veces durante el período que se encontró disponible en el repositorio.

Por otra parte, según declaraciones de la firma de seguridad cibernética Snyk que también analizó el código malicioso, podrían existir aproximadamente 1670 repositorios de GitHub que también habrían estado expuestos a la librería maliciosa a través del uso directo, y dicho número podría aumentar significativamente si se tiene en cuenta su uso en aplicaciones como una dependencia transitiva.

La versión v3.2.0.4 de Bootstrap-Sass se ha lanzado tanto en RubyGems como en GitHub para eliminar cualquier resto del backdoor. Se recomienda a los desarrolladores que actualicen su código a esta nueva versión o a una rama más actual.

Más información:
Malicious remote code execution backdoor discovered in the popular bootstrap-sass Ruby gem
https://snyk.io/blog/malicious-remote-code-execution-backdoor-discovered-in-the-popular-bootstrap-sass-ruby-gem/

twbs/bootstrap-sass issues: 3.2.0.3? #1195
https://github.com/twbs/bootstrap-sass/issues/1195

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.