Una vez más, se recomienda a los administradores de los servidores que ejecutan Ruby on Rails, actualizar las últimas versiones del marco (3.2.11, 3.1.10, 3.0.19 y 2.3.15), ya que una vulnerabilidad que existe en versiones anteriores está siendo activamente explotada para agregar equipos a una red de bots de IRC.

Según los investigadores de la seguridad Jeff Jarmoc, los ataques se producieron a partir de tres dominios, además entregan un payload que agrega comandos a los archivos crontab de origen maliciosos y descargas de archivos ejecutables. El malware descargado establece en última instancia un bot de IRC que intentó conectarse a uno de los dos dominios para articular el canal #rails.

"El script usa un nickname generado aleatoriamente de 9 caracteres al conectarse a IRC." Un archivo ubicado en  '/ tmp /tan.pid' asegura que el bot solo se ejecuta una vez en cada equipo infectado ", compartió." La funcionalidad es limitada, pero incluye la posibilidad para descargar y ejecutar archivos, así como el cambio de servicios”.

Jarmoc está un poco sorprendido de que a una vulnerabilidad (que fue corregida en enero) le tomara tanto tiempo comenzar a ser explotada, pero el hecho de que desde entonces algunos administradores no actualicen sus instalaciones de Rails, lo sorprende menos.

Señaló que los dominios que proporcionan el malware descargado adicionalmente y el servidor de IRC, ahora ya no están disponibles, y que los ataques fueron probablemente realizados por script kiddies.