Эксплоиты десериализации Ruby Marshal: обзор за десять лет

В статье прослеживается эволюция эксплойтов десериализации Ruby Marshal — от первоначального отчёта об ошибке в 2013 году до современного индустриального обнаружения гаджетов. Освещаются ключевые этапы: проблема в баг-трекере Чарли Сомервилла в 2013 году, proof-of-concept Phrack 2016 года, универсальная RCE нагрузка Люка Янке 2018 года и последовательные цепочки гаджетов от исследователей безопасности. Современная эпоха характеризуется продвинутыми инструментами — запросами CodeQL и правилами Semgrep для обнаружения небезопасной десериализации. Несмотря на патчи в Ruby 3.2 и безопасные настройки YAML по умолчанию, продолжают появляться новые гаджеты, что подчёркивает бесполезность стратегии "патчить и надеяться". В статье приведены практические рекомендации: проводить аудит кода на использование Marshal.load, перейти на safe_load и JSON, а также постепенно отказаться от Ruby Marshal, введя API safe_load и предупреждения во время выполнения. Эти меры направлены на устранение уязвимостей произвольного выполнения кода, связанных с десериализацией Ruby Marshal.