في الأسبوع الماضي ، قامت شركة Progress Software Corporation ، التي تبيع البرامج والخدمات لتطوير واجهة المستخدم ، و devops ، وإدارة الملفات وغير ذلك ، بتنبيه العملاء إلى نقل MOVEit وما يتصل بها سحابة موفيت المنتجات حول أ الضعف الحرج يطلق عليها اسم CVE-2023-34362.
كما يوحي الاسم ، يعد MOVEit Transfer نظامًا يسهل تخزين الملفات ومشاركتها عبر فريق أو قسم أو شركة أو حتى سلسلة توريد.
في تقريرها الكلمات الخاصة, "توفر MOVEit تعاونًا آمنًا وعمليات نقل تلقائية للملفات للبيانات الحساسة وإمكانيات متقدمة لأتمتة سير العمل دون الحاجة إلى البرمجة النصية."
لسوء الحظ ، تبين أن الواجهة الأمامية لـ MOVEit المستندة إلى الويب ، والتي تسهل مشاركة الملفات وإدارتها باستخدام متصفح الويب فقط (وهي عملية تعتبر عمومًا أقل عرضة للملفات الموجهة بشكل خاطئ أو "المفقودة" من مشاركتها عبر البريد الإلكتروني) ، ضعف الحقن.
وأوضح حقن SQL
تظهر أخطاء حقن SQL المستندة إلى الويب عند إرسال طلب HTTP إلى خادم الويب يتم تحويله بشكل غير آمن إلى أمر استعلام يتم إصداره بعد ذلك بواسطة الخادم نفسها لإجراء بحث في قاعدة البيانات من أجل معرفة رد HTTP على البناء.
على سبيل المثال ، قد ينتهي الأمر ببحث قاعدة بيانات يتم تشغيله من صفحة ويب كعنوان URL يطلبه متصفحك يبدو كالتالي:
https://search.example.com/?type=file&name=duck
نص الاستعلام duck
يمكن بعد ذلك استخراجها من معلمة الاسم في عنوان URL ، وتحويلها إلى صيغة استعلام قاعدة البيانات ، ودمجها في أمر لإرسالها إلى خادم قاعدة البيانات.
إذا تم تخزين البيانات الخلفية في قاعدة بيانات SQL ، فقد يقوم خادم الويب بتحويل عنوان URL هذا إلى أمر SQL مثل الأمر الموضح أدناه.
• %
الأحرف المضافة إلى النص duck
يعني أن مصطلح البحث يمكن أن يظهر في أي مكان في اسم الملف المسترجع ، ويتم إضافة أحرف الاقتباس الفردية في كل نهاية كعلامات للإشارة إلى سلسلة نصية SQL:
حدد اسم الملف من filesdb حيث الاسم مثل '٪ duck٪'
يمكن بعد ذلك تنسيق البيانات التي تأتي من الاستعلام بشكل جيد ، وتحويلها إلى HTML ، وإرسالها مرة أخرى كرد HTTP على متصفحك ، وربما يمنحك قائمة قابلة للنقر من الملفات المطابقة لتنزيلها.
بالطبع ، يحتاج خادم الويب إلى توخي الحذر الشديد مع أسماء الملفات التي يتم إرسالها كمصطلح بحث ، في حالة قيام مستخدم ضار بإنشاء وطلب عنوان URL مثل هذا:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
إذا تم تحويل مصطلح البحث هذا بشكل أعمى إلى سلسلة استعلام ، فقد تتمكن من خداع خادم الويب لإرسال أمر مثل هذا إلى خادم SQL:
حدد اسم الملف من filesdb حيث الاسم مثل '٪ duck' ؛ DROP TABLE filesdb ؛ -٪ '
لأن الفاصلة المنقوطة (;
) يعمل كفاصل جملة في SQL ، وهذا الأمر ذو السطر الفردي هو في الواقع نفس إرسال ثلاثة أوامر متتالية:
حدد اسم الملف من filesdb حيث الاسم مثل '٪ duck' - يطابق الأسماء المنتهية بطة DROP TABLE filesdb - يحذف قاعدة البيانات بأكملها -٪ '- تعليق ، لا يفعل شيئًا
متستر ، لأن كل بعد --
تم تجاهلها بواسطة SQL كتعليق مبرمج ، فهذه الأسطر الثلاثة هي نفسها:
حدد اسم الملف من filesdb حيث الاسم مثل ملفات '٪ duck' DROP TABLE db
ستحصل على قائمة بجميع أسماء الملفات في قاعدة البيانات التي تنتهي بالسلسلة duck
(حرف SQL الخاص %
في بداية عبارة البحث تعني "مطابقة أي شيء حتى هذه النقطة") ...
... لكنك ستكون آخر شخص يحصل على أي شيء مفيد من filesdb
قاعدة البيانات ، لأن مصطلح البحث الخادع الخاص بك سوف يتابع البحث باستخدام أمر SQL لحذف قاعدة البيانات بأكملها.
طاولات صغيرة بوبي
إذا كنت قد سمعت من أي وقت مضى عن المدربين أو المبرمجين النكات طاولات صغيرة بوبي، وذلك لأن هذا النوع من حقن SQL تم تخليده في نطاق XKCD الكرتون مرة أخرى في 2007:
نظرًا لأن الرسم الكارتوني ينتهي في الإطار الأخير ، فأنت بحاجة حقًا إلى تعقيم مدخلات قاعدة البيانات الخاصة بك ، مما يعني أنك بحاجة إلى الحرص الشديد على عدم السماح للشخص الذي يرسل مصطلح البحث بالتحكم في كيفية تفسير أمر البحث بواسطة خوادم الواجهة الخلفية المعنية.
يمكنك أن ترى لماذا يُعرف هذا النوع من الخدعة باسم هجوم الحقن: في الأمثلة أعلاه ، تتسبب مصطلحات البحث الضارة في إدخال أمر SQL إضافي في معالجة الطلب.
في الواقع ، يتضمن كلا المثالين اثنين من الأوامر المحقونة ، باتباع حرف "الاقتباس القريب" الذي تم إدخاله بشكل خفي لإنهاء سلسلة البحث مبكرًا. الأمر الإضافي الأول هو الأمر التدميري DROP TABLE
تعليمات. والثاني هو "أمر التعليق" الذي يتسبب في تجاهل باقي السطر ، وبالتالي يلتهم بمكر %'
الأحرف التي تم إنشاؤها بواسطة منشئ أوامر الخادم ، والتي كان من الممكن أن تتسبب في حدوث خطأ نحوي وتمنع الحقن DROP TABLE
أمر من العمل.
أخبار جيدة وأخرى سيئة
والخبر السار في هذه الحالة هو أن Progress قام بتصحيح جميع إصدارات MOVEit المدعومة ، جنبًا إلى جنب مع الخدمة المستندة إلى السحابة ، بمجرد إدراكها للثغرة الأمنية.
لذلك ، إذا كنت تستخدم الإصدار السحابي ، فأنت الآن محدث تلقائيًا ، وإذا كنت تقوم بتشغيل MOVEit على شبكتك الخاصة ، فنحن نأمل أن تكون قد قمت بالتصحيح الآن.
النبأ السيئ هو أن هذه الثغرة كانت في يوم صفر ، مما يعني أن التقدم اكتشفها لأن الأشرار كانوا يستغلونها بالفعل ، وليس قبل أن يكتشفوا كيفية القيام بذلك.
بعبارة أخرى ، بحلول الوقت الذي قمت فيه بتصحيح الخوادم الخاصة بك (أو قام التقدم بتصحيح خدمته السحابية) ، ربما يكون المحتالون قد قاموا بالفعل بحقن أوامر شريرة في قواعد بيانات MOVEit SQL الخلفية ، مع مجموعة من النتائج المحتملة:
- حذف البيانات الموجودة. كما هو موضح أعلاه ، فإن المثال الكلاسيكي لهجوم حقن SQL هو تدمير البيانات على نطاق واسع.
- استخراج البيانات الموجودة. بدلاً من إسقاط جداول SQL ، يمكن للمهاجمين إدخال استعلامات خاصة بهم ، وبالتالي فهم ليس فقط بنية قواعد البيانات الداخلية الخاصة بك ، ولكن أيضًا استخراج وسرقة الأجزاء الأكثر تشويشًا.
- تعديل البيانات الموجودة. قد يقرر المهاجمون الأكثر دقة إتلاف بياناتك أو تعطيلها بدلاً من (أو كذلك) سرقتها.
- زرع ملفات جديدة بما في ذلك البرامج الضارة. يمكن للمهاجمين حقن أوامر SQL التي بدورها تطلق أوامر نظام خارجية ، وبالتالي تحقيق تنفيذ تعسفي للرمز عن بعد داخل شبكتك.
مجموعة واحدة من المهاجمين ، مزعوم بواسطة Microsoft لتكون (أو أن تكون متصلاً) من عصابة Clop ransomware سيئة السمعة ، يبدو أنها تستخدم هذه الثغرة الأمنية لزرع ما يُعرف باسم قشور الويب على الخوادم المتأثرة.
إذا لم تكن على دراية بقذائف الويب ، فاقرأ شرح لغة إنجليزية مبسطة التي نشرناها في وقت هجمات HAFNIUM المزعجة في مارس 2021:
خطر Webshell
ببساطة ، توفر webshells طريقة للمهاجمين الذين يمكنهم إضافة ملفات جديدة إلى خادم الويب الخاص بك للعودة لاحقًا ، والاقتحام في أوقات فراغهم ، واستغلال هذا الوصول للكتابة فقط في جهاز تحكم عن بعد كامل.
تعمل Webshells لأن العديد من خوادم الويب تتعامل مع ملفات معينة (عادةً ما يتم تحديدها من خلال الدليل الموجود بها أو من خلال الامتداد الموجود لديها) على أنها برامج نصية قابلة للتنفيذ تستخدم لإنشاء الصفحة لإرسالها مرة أخرى، وليس كمحتوى فعلي لاستخدامه في الرد.
على سبيل المثال ، عادةً ما يتم تكوين IIS (خادم معلومات الإنترنت) من Microsoft بحيث إذا طلب مستعرض الويب ملفًا يسمى ، على سبيل المثال ، hello.html
، ثم ستتم قراءة المحتوى الخام غير المعدل لهذا الملف وإرساله مرة أخرى إلى المتصفح.
لذا ، إذا كان هناك أي برامج ضارة في ذلك hello.html
ملف ، فسيؤثر ذلك على الشخص الذي يتصفح الخادم ، وليس الخادم نفسه.
ولكن إذا تم استدعاء الملف ، فلنقل hello.aspx
(حيث يكون ASP اختصارًا لعبارة الوصف الذاتي صفحات الملقم النشطة) ، ثم يتم التعامل مع هذا الملف كبرنامج نصي ليتم تنفيذه على الخادم.
سيؤدي تشغيل هذا الملف كبرنامج ، بدلاً من مجرد قراءته كبيانات ، إلى إنشاء الإخراج ليتم إرساله ردًا.
بمعنى آخر ، إذا كان هناك أي برامج ضارة في ذلك hello.aspx
ملف ، فسيؤثر بشكل مباشر على الخادم نفسه ، وليس على الشخص الذي يتصفحه.
باختصار ، إن إسقاط ملف webshell كأثر جانبي لهجوم حقن الأوامر يعني أن المهاجمين يمكنهم العودة لاحقًا ، ومن خلال زيارة عنوان URL المقابل لاسم ملف webshell هذا ...
... يمكنهم تشغيل البرامج الضارة الخاصة بهم داخل شبكتك مباشرةً ، دون استخدام أي شيء مريب أكثر من طلب HTTP متواضع يتم إجراؤه بواسطة متصفح ويب يوميًا.
في الواقع ، تتكون بعض صفحات الويب من سطر واحد فقط من البرامج النصية الضارة ، على سبيل المثال ، أمر واحد يقول "الحصول على نص من رأس HTTP محدد في الطلب وتشغيله كأمر نظام".
يمنح هذا الأمر وصولاً للقيادة والتحكم للأغراض العامة لأي مهاجم يعرف عنوان URL الصحيح لزيارته ، ورأس HTTP الصحيح لاستخدامه لتسليم الأمر المحتال.
ماذا ستفعلين.. إذًا؟
- إذا كنت من مستخدمي MOVEit ، تأكد من تصحيح جميع مثيلات البرنامج الموجودة على شبكتك.
- إذا لم تتمكن من التصحيح الآن ، قم بإيقاف تشغيل الواجهات المستندة إلى الويب (HTTP و HTTP) لخوادم MOVEit حتى تتمكن من ذلك. من الواضح أن هذه الثغرة الأمنية يتم كشفها فقط عبر واجهة الويب الخاصة بـ MOVEit ، وليس عبر مسارات الوصول الأخرى مثل SFTP.
- ابحث في سجلاتك لملفات خادم الويب المضافة حديثًا وحسابات المستخدمين المنشأة حديثًا وتنزيلات البيانات الكبيرة بشكل غير متوقع. يحتوي التقدم على قائمة بالأماكن للبحث ، بالإضافة إلى أسماء الملفات والبحث عنها.
- إذا كنت مبرمجًا ، تعقيم مدخلاتك.
- إذا كنت مبرمج SQL ، استخدام الاستعلامات ذات المعلمات ، بدلاً من إنشاء أوامر استعلام تحتوي على أحرف يتحكم فيها الشخص الذي يرسل الطلب.
في العديد ، إن لم يكن معظم ، الهجمات المستندة إلى الويب شيل التي تم التحقيق فيها حتى الآن ، يقترح التقدم من المحتمل أن تجد ملف webshell محتال اسمه human2.aspx
، ربما إلى جانب الملفات الضارة التي تم إنشاؤها حديثًا بامتداد .cmdline
تمديد.
(ستكتشف منتجات Sophos ملفات webshell المعروفة باسم Troj / WebShel-GO، سواء تم استدعاؤها human2.aspx
أم لا.)
تذكر ، مع ذلك ، أنه إذا كان المهاجمون الآخرون يعرفون يوم الصفر هذا قبل ظهور التصحيح ، فربما يكونون قد أدخلوا أوامر مختلفة ، وربما أكثر دقة ، لا يمكن اكتشافها الآن عن طريق المسح بحثًا عن البرامج الضارة التي تُركت وراءها ، أو البحث لأسماء الملفات المعروفة التي قد تظهر في السجلات.
لا تنس مراجعة سجلات الوصول بشكل عام ، وإذا لم يكن لديك الوقت للقيام بذلك بنفسك ، فلا تخف من ذلك طلب المساعدة!
معرفة المزيد عن تمكنت Sophos من الكشف والاستجابة:
24/7 مطاردة التهديدات واكتشافها والاستجابة لها ▶
هل لديك وقت أو خبرة كافية لرعاية الاستجابة لتهديدات الأمن السيبراني؟ هل تشعر بالقلق من أن ينتهي الأمن السيبراني بإلهائك عن كل الأشياء الأخرى التي تحتاج إلى القيام بها؟
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 1
- 15%
- 2021
- a
- ماهرون
- من نحن
- حوله
- فوق
- مطلق
- الوصول
- الحسابات
- تحقيق
- الأفعال
- يقدم
- في الواقع
- تضيف
- وأضاف
- إضافي
- متقدم
- تؤثر
- خائف
- بعد
- الكل
- السماح
- على طول
- سابقا
- أيضا
- an
- و
- أي وقت
- اى شى
- في أى مكان
- تظهر
- هي
- AS
- At
- مهاجمة
- الهجمات
- المؤلفة
- السيارات
- الآلي
- تلقائيا
- أتمتة
- علم
- الى الخلف
- الخلفية
- خلفية الصورة
- سيئة
- BE
- وأصبح
- لان
- كان
- قبل
- وراء
- أقل من
- عمياء
- حظر
- شرطي
- الحدود
- على حد سواء
- الملابس السفلية
- خرق
- استراحة
- المتصفح
- تصفح
- البق
- لكن
- by
- تسمى
- أتى
- CAN
- قدرات
- يهمني
- حذر
- رسوم متحركة
- حقيبة
- سبب
- تسبب
- الأسباب
- مركز
- معين
- سلسلة
- حرف
- الأحرف
- كلاسيكي
- سحابة
- الكود
- للاتعاون
- اللون
- تأتي
- يأتي
- التعليق
- حول الشركة
- إكمال
- متصل
- على التوالي
- نظرت
- بناء
- محتوى
- مراقبة
- ذو شاهد
- تحول
- تحويلها
- مؤسسة
- المقابلة
- استطاع
- الدورة
- بهيكل
- خلق
- خلق
- المحتالون
- العملاء
- الأمن السيبراني
- البيانات
- البيانات الاختراق
- قاعدة البيانات
- قواعد البيانات
- تقرر
- تقديم
- القسم
- الكشف عن
- كشف
- مصمم
- التطوير التجاري
- DevOps
- مختلف
- مباشرة
- العرض
- تعطيل
- do
- هل
- لا
- بإمكانك تحميله
- التنزيلات
- قطرة
- إسقاط
- يطلق عليها اسم
- كل
- في وقت مبكر
- سهل
- البريد الإلكتروني
- النهاية
- خطأ
- حتى
- EVER
- كل يوم
- مثال
- أمثلة
- تنفيذ
- القائمة
- خبرة
- استغلال
- مكشوف
- تمديد
- خارجي
- احتفل على
- حقيقة
- مألوف
- بعيدا
- أحسب
- قم بتقديم
- ملفات
- الاسم الأول
- اتباع
- متابعيك
- في حالة
- وجدت
- FRAME
- تبدأ من
- جبهة
- نهاية المقدمة
- عصابة
- العلاجات العامة
- هدف عام
- على العموم
- توليد
- ولدت
- توليد
- مولد كهربائي
- دولار فقط واحصل على خصم XNUMX% على جميع
- يعطي
- إعطاء
- خير
- عظيم
- تجمع
- كان
- معالجة
- يملك
- سمعت
- ارتفاع
- أمل
- تحوم
- كيفية
- كيفية
- لكن
- HTML
- HTTP
- HTTPS
- صيد
- if
- IIS
- in
- بما فيه
- سيء السمعة
- معلومات
- حقن
- المدخلات
- بدلًا من ذلك
- السطح البيني
- واجهات
- داخلي
- Internet
- إلى
- تنطوي
- المشاركة
- نشر
- IT
- انها
- نفسها
- م
- واحد فقط
- معروف
- كبير
- على نطاق واسع
- اسم العائلة
- الى وقت لاحق
- إطلاق
- تعلم
- اليسار
- أقل
- مثل
- خط
- خطوط
- قائمة
- تبدو
- بحث
- صنع
- جعل
- يصنع
- القيام ب
- البرمجيات الخبيثة
- إدارة
- تمكن
- إدارة
- كثير
- مارس
- هامش
- مطابقة
- ماكس العرض
- مايو..
- تعني
- معنى
- يعني
- مایکروسافت
- ربما
- الأكثر من ذلك
- أكثر
- الاسم
- عين
- أسماء
- حاجة
- إحتياجات
- شبكة
- جديد
- حديثا
- أخبار
- عادي
- لا شى
- الآن
- of
- خصم
- on
- مرة
- ONE
- فقط
- or
- طلب
- أخرى
- وإلا
- لنا
- خارج
- النتائج
- الناتج
- الخاصة
- صفحة
- المعلمة
- أجزاء
- بقعة
- بول
- ربما
- شخص
- وجهات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ان يرتفع المركز
- ممكن
- المنشورات
- المحتمل
- عملية المعالجة
- المنتجات
- البرنامج
- مبرمج
- التقدّم
- تزود
- ويوفر
- نشرت
- وضع
- الاستفسارات
- اقتبس
- نطاق
- الفدية
- بدلا
- الخام
- عرض
- نادي القراءة
- في الحقيقة
- ذات صلة
- نسبي
- عن بعد
- الرد
- طلب
- طلب
- طلبات
- استجابة
- REST
- مراجعة
- حق
- يجري
- تشغيل
- نفسه
- قول
- يقول
- مسح
- مخطوطات
- بحث
- البحث
- الثاني
- تأمين
- انظر تعريف
- تبيع
- إرسال
- إرسال
- حساس
- أرسلت
- الخدمة
- خدمات
- مشاركة
- مشاركة
- قصير
- إظهار
- أظهرت
- ببساطة
- عزباء
- So
- حتى الآن
- تطبيقات الكمبيوتر
- الصلبة
- بعض
- تختص
- محدد
- SQL
- حقن SQL
- بداية
- ملخص الحساب
- متجر
- تخزين
- خيط
- بناء
- تقدم
- المقدمة
- هذه
- وتقترح
- تزويد
- سلسلة التوريد
- مدعومة
- مشكوك فيه
- SVG
- بناء الجملة
- نظام
- جدول
- أخذ
- فريق
- مصطلح
- سياسة الحجب وتقييد الوصول
- من
- أن
- •
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- الأشياء
- التهديد
- ثلاثة
- طوال
- الوقت
- إلى
- تيشرت
- تحويل
- التحويلات
- انتقال
- شفاف
- علاج
- أثار
- منعطف أو دور
- تحول
- اثنان
- حتى
- حديث جديد
- URL
- تستخدم
- مستعمل
- مستخدم
- واجهة المستخدم
- استخدام
- عادة
- الإصدار
- بواسطة
- قم بزيارتنا
- الضعف
- وكان
- طريق..
- we
- الويب
- متصفح الويب
- خادم الويب
- على شبكة الإنترنت
- أسبوع
- حسن
- كان
- ابحث عن
- متى
- سواء
- التي
- من الذى
- كامل
- لماذا
- سوف
- مع
- بدون
- كلمات
- للعمل
- اكتشف - حل
- سير العمل
- سير العمل الآلي
- عامل
- قلق
- سوف
- لصحتك!
- حل متجر العقارات الشامل الخاص بك في جورجيا
- نفسك
- زفيرنت