Cybercriminelen hebben de afgelopen maanden gewerkt aan serverbotnets door de eerder dit jaar ontdekte gaten in Ruby on Rails te gebruiken. Deze ontdekking heeft flinke gevolgen gehad voor Nederland, waar identiteitsdienst DigiD uit voorzorg offline is gehaald. Deze webtoepassing van de Nederlandse overheid is namelijk ook in Rails gebouwd. Nu, bijna een half jaar later, gebruiken hackers exploits voor deze oude gaten om websites te ronselen voor krachtige botnets.

Misbruik liet op zich wachten

Beveiliginsonderzoeker Jeff Jarmoc ontdekte dat de kwetsbaarheid in het wild wordt misbruikt door hackers om servers over te nemen. “Het is behoorlijk verrassend dat het zo lang heeft geduurd voor [de exploit van het lek] in het wild is opgedoken", schrijft de onderzoeker. Het is volgens hem "verrassend dat mensen nog steeds kwetsbare versies van Rails draaien.”

Jarmoc wijst erop dat enkele webhosts slachtoffer zijn geworden van de aanval. Websites die bij deze bedrijven draaien, worden via het benutte gat naar een IRC-kanaal geleid waarna de hackers hun malafide software naar de servers kunnen pushen. IRC-bots doken al in 1991 op om admintaken op IRC-kanalen te automatiseren. Al snel werd deze methode gebruikt door hackers om zombies te maken van aan IRC's gekoppelde pc's.

Oud gat blijft aantrekkelijk

Antieke gaten in webservers blijven lang 'hun werk' doen, omdat beheerders de software weinig of niet bijwerken. De beveiligingsonderzoeker beschrijft een aantal gehackte webservers. Deze zijn inmiddels offline gehaald, meldt Ars Technica.

De makers van Rails hebben in januari al een patch uitgebracht, waar onder meer Logius voor het in Rails gebouwde DigiD zich meteen op stortte. Een gepatchte versie van DigiD kwam tien uur na het offline halen weer online. Ontwikkelaars van kritieke applicaties storten zich in de regel sneller op gaten dan particulieren en kleinere bedrijven die 'slechts' een website runnen. Hackers nemen dan ook al tijden webservers op de korrel via verouderde lekken om botnets flink krachtiger te maken.

Hoster grijpt in

Vorig jaar ontstond ophef toen hostingbedrijf Strato onverwacht sites van klanten uit de lucht haalde. Deze geblokkeerde websites werden beheerd met een lekke versie van sitebeheersoftware Plesk en lagen onder vuur van hackers. Websitebeheerders pasten patches voor het beheerpaneel te weinig toe. Bovendien bleek later nog dat een Plesk-installatie ondanks de patch alsnog te misbruiken was.