Letzte Woche hat die Progress Software Corporation, die Software und Dienstleistungen für die Entwicklung von Benutzeroberflächen, Entwicklern, Dateiverwaltung und mehr verkauft, Kunden darauf aufmerksam gemacht MOVEit-Übertragung und damit zusammenhängende MOVEit Cloud Produkte über a kritische Schwachstelle synchronisiert CVE-2023-34362.
Wie der Name schon sagt, handelt es sich bei MOVEit Transfer um ein System, das die einfache Speicherung und gemeinsame Nutzung von Dateien in einem Team, einer Abteilung, einem Unternehmen oder sogar einer Lieferkette ermöglicht.
In ihrer eigene Worte, „MOVEit bietet sichere Zusammenarbeit und automatisierte Dateiübertragungen sensibler Daten sowie erweiterte Funktionen zur Workflow-Automatisierung, ohne dass Skripts erforderlich sind.“
Leider stellte sich heraus, dass das webbasierte Frontend von MOVEit, das das Teilen und Verwalten von Dateien einfach mit einem Webbrowser ermöglicht (ein Prozess, der allgemein als weniger anfällig für fehlgeleitete oder „verlorene“ Dateien gilt als das Teilen per E-Mail), über ein SQL verfügt Sicherheitslücke bei Injektionen.
SQL-Injections erklärt
Webbasierte SQL-Injection-Fehler treten auf, wenn eine HTTP-Anfrage gesendet wird an einen Webserver wird unsicher in einen Abfragebefehl umgewandelt, der dann ausgegeben wird vom Server selbst, eine Datenbanksuche durchzuführen, um herauszufinden, welche HTTP-Antwort erstellt werden soll.
Beispielsweise könnte eine von einer Webseite ausgelöste Datenbanksuche als von Ihrem Browser angeforderte URL enden, die wie folgt aussieht:
https://search.example.com/?type=file&name=duck
Der Abfragetext duck
könnte dann aus dem Namensparameter in der URL extrahiert, in Datenbankabfragesyntax umgewandelt und in einen Befehl zur Übermittlung an den Datenbankserver eingefügt werden.
Wenn die Backend-Daten in einer SQL-Datenbank gespeichert sind, konvertiert der Webserver diese URL möglicherweise in einen SQL-Befehl wie den unten gezeigten.
Das %
dem Text hinzugefügte Zeichen duck
bedeutet, dass der Suchbegriff an einer beliebigen Stelle im abgerufenen Dateinamen vorkommen kann und die einfachen Anführungszeichen an jedem Ende als Markierungen hinzugefügt werden, um eine SQL-Textzeichenfolge zu kennzeichnen:
SELECT filename FROM filesdb WHERE name LIKE '%duck%'
Die von der Abfrage zurückgegebenen Daten könnten dann gut formatiert, in HTML konvertiert und als HTTP-Antwort an Ihren Browser zurückgesendet werden, sodass Sie möglicherweise eine anklickbare Liste passender Dateien zum Herunterladen erhalten.
Natürlich muss der Webserver sehr vorsichtig mit den Dateinamen sein, die als Suchbegriff übermittelt werden, für den Fall, dass ein böswilliger Benutzer eine URL wie diese erstellt und anfordert:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
Wenn dieser Suchbegriff blind in eine Abfragezeichenfolge umgewandelt würde, könnten Sie den Webserver möglicherweise dazu verleiten, dem SQL-Server einen Befehl wie diesen zu senden:
SELECT filename FROM filesdb WHERE name LIKE '%duck';DROP TABLE filesdb;--%'
Weil ein Semikolon (;
) fungiert als Anweisungstrennzeichen in SQL. Dieser einzeilige Befehl ist eigentlich dasselbe wie das Senden von drei aufeinanderfolgenden Befehlen:
SELECT filename FROM filesdb WHERE name LIKE '%duck' -- passt zu Namen, die mit duck enden DROP TABLE filesdb -- löscht die gesamte Datenbank --%' -- Kommentar, tut nichts
Heimlich, denn alles danach --
von SQL als Kommentar eines Programmierers verworfen wird, sind diese drei Zeilen identisch mit:
SELECT filename FROM filesdb WHERE name LIKE '%duck' DROP TABLE filesdb
Sie erhalten eine Liste aller Dateinamen in der Datenbank zurück, die mit der Zeichenfolge enden duck
(das spezielle SQL-Zeichen %
am Anfang eines Suchbegriffs bedeutet „passt zu allem bis zu diesem Punkt“)…
…aber Sie werden die letzte Person sein, die etwas Nützliches daraus macht filesdb
Datenbank, da Ihr betrügerischer Suchbegriff nach der Suche den SQL-Befehl zum Löschen der gesamten Datenbank auslöst.
Kleine Bobby Tische
Wenn Sie jemals Syadmins oder Programmierer Witze darüber gehört haben Kleine Bobby Tische, das liegt daran, dass diese Art der SQL-Injection in einem verewigt wurde XKCD-Karikatur zurück in 2007:
Wie der Cartoon im letzten Frame endet, müssen Sie Ihre Datenbankeingaben wirklich bereinigen, was bedeutet, dass Sie sehr darauf achten müssen, dass die Person, die den Suchbegriff eingibt, nicht kontrolliert, wie der Suchbefehl von den beteiligten Backend-Servern interpretiert wird.
Sie können sehen, warum ein solcher Trick als Injektionsangriff bezeichnet wird: In den obigen Beispielen führen die schädlichen Suchbegriffe dazu, dass ein zusätzlicher SQL-Befehl in die Verarbeitung der Anfrage eingefügt wird.
Tatsächlich handelt es sich bei beiden Beispielen um zwei injizierte Befehle, die dem heimlich eingefügten „Anführungszeichen“ folgen, um die Suchzeichenfolge vorzeitig abzuschließen. Der erste zusätzliche Befehl ist der destruktive DROP TABLE
Anweisung. Der zweite ist ein „Kommentarbefehl“, der dazu führt, dass der Rest der Zeile ignoriert wird und so das Nachstellen geschickt auffrisst %'
vom Befehlsgenerator des Servers generierte Zeichen, die andernfalls einen Syntaxfehler verursacht und die Injektion verhindert hätten DROP TABLE
Befehl von der Arbeit.
Gute und schlechte Nachrichten
Die gute Nachricht in diesem Fall ist, dass Progress alle unterstützten MOVEit-Versionen sowie seinen Cloud-basierten Dienst gepatcht hat, sobald das Unternehmen Kenntnis von der Sicherheitslücke erlangte.
Wenn Sie also die Cloud-Version verwenden, sind Sie jetzt automatisch auf dem neuesten Stand, und wenn Sie MOVEit in Ihrem eigenen Netzwerk ausführen, hoffen wir, dass Sie den Patch inzwischen installiert haben.
Die schlechte Nachricht ist, dass es sich bei dieser Schwachstelle um eine Zero-Day-Sicherheitslücke handelte, was bedeutet, dass Progress davon erfahren hat, weil die Bösewichte sie bereits ausgenutzt hatten, und nicht, bevor sie herausgefunden hatten, wie sie das machen könnten.
Mit anderen Worten: Bis Sie Ihre eigenen Server gepatcht haben (oder Progress seinen Cloud-Dienst gepatcht hat), haben Betrüger möglicherweise bereits betrügerische Befehle in Ihre MOVEit SQL-Backend-Datenbanken eingeschleust, mit einer Reihe möglicher Folgen:
- Löschung vorhandener Daten. Wie oben gezeigt, ist das klassische Beispiel eines SQL-Injection-Angriffs die groß angelegte Datenvernichtung.
- Exfiltration vorhandener Daten. Anstatt SQL-Tabellen zu löschen, könnten Angreifer eigene Abfragen einschleusen und so nicht nur die Struktur Ihrer internen Datenbanken erlernen, sondern auch ihre wichtigsten Teile extrahieren und stehlen.
- Änderung bestehender Daten. Schlauere Angreifer könnten beschließen, Ihre Daten zu beschädigen oder zu zerstören, anstatt sie zu stehlen (oder sie zu stehlen).
- Implantation neuer Dateien, einschließlich Malware. Angreifer könnten SQL-Befehle einschleusen, die wiederum externe Systembefehle starten und so eine beliebige Remotecodeausführung innerhalb Ihres Netzwerks erreichen.
Eine Gruppe von Angreifern, angeblich Microsoft behauptet, die berüchtigte Clop-Ransomware-Bande zu sein (oder mit ihr in Verbindung zu stehen), haben diese Schwachstelle offenbar ausgenutzt, um sogenannte „Clop“-Ransomware-Programme einzuschleusen Webshells auf betroffenen Servern.
Wenn Sie mit Webshells nicht vertraut sind, lesen Sie unsere Klartext-Erklärer das wir zum Zeitpunkt der problematischen HAFNIUM-Angriffe im März 2021 veröffentlicht haben:
Webshell-Gefahr
Einfach ausgedrückt: Webshells bieten Angreifern, die neue Dateien zu Ihrem Webserver hinzufügen können, die Möglichkeit, später wiederzukommen, nach Belieben einzubrechen und den reinen Schreibzugriff in eine vollständige Fernsteuerung umzuwandeln.
Webshells funktionieren, weil viele Webserver bestimmte Dateien (normalerweise bestimmt durch das Verzeichnis, in dem sie sich befinden oder durch die Erweiterung, die sie haben) als ausführbare Skripte behandeln Wird verwendet, um die Seite zum Zurücksenden zu generieren, und nicht als eigentlicher Inhalt, der in der Antwort verwendet werden soll.
Beispielsweise ist der IIS (Internetinformationsserver) von Microsoft normalerweise so konfiguriert, dass, wenn ein Webbrowser eine Datei mit dem Namen beispielsweise anfordert, hello.html
, dann wird der rohe, nicht modifizierte Inhalt dieser Datei eingelesen und an den Browser zurückgesendet.
Also, ob darin Malware enthalten ist hello.html
Datei, dann wirkt sich dies auf die Person aus, die den Server aufruft, nicht auf den Server selbst.
Aber wenn die Datei aufgerufen wird, sagen wir: hello.aspx
(wobei ASP die Abkürzung für die selbstbeschreibende Phrase ist Aktive Server-Seiten), dann wird diese Datei als Skriptprogramm behandelt, das der Server ausführen kann.
Wenn Sie diese Datei als Programm ausführen, anstatt sie einfach als Daten einzulesen, wird die Ausgabe generiert, die als Antwort gesendet wird.
Mit anderen Worten, ob sich darin Malware befindet hello.aspx
Datei, dann wirkt es sich direkt auf den Server selbst aus, nicht auf die Person, die darauf zugreift.
Kurz gesagt bedeutet das Löschen einer Webshell-Datei als Nebeneffekt eines Command-Injection-Angriffs, dass die Angreifer später zurückkommen können, indem sie die URL besuchen, die dem Dateinamen dieser Webshell entspricht …
…sie können ihre Malware direkt in Ihrem Netzwerk ausführen und dabei nichts Verdächtigeres verwenden als eine unscheinbare HTTP-Anfrage, die von einem alltäglichen Webbrowser gestellt wird.
Tatsächlich bestehen einige Webshells nur aus einer Zeile schädlichen Skripts, beispielsweise einem einzelnen Befehl mit der Aufschrift „Text aus einem bestimmten HTTP-Header in der Anfrage abrufen und als Systembefehl ausführen“.
Dies ermöglicht jedem Angreifer allgemeinen Befehls- und Kontrollzugriff, der die richtige URL kennt, die er besuchen soll, und den richtigen HTTP-Header, der für die Übermittlung des betrügerischen Befehls verwendet werden kann.
Was ist zu tun?
- Wenn Sie ein MOVEit-Benutzer sind, Stellen Sie sicher, dass alle Instanzen der Software in Ihrem Netzwerk gepatcht sind.
- Wenn Sie gerade nicht patchen können, Schalten Sie die webbasierten (HTTP und HTTP) Schnittstellen zu Ihren MOVEit-Servern aus, bis Sie können. Offenbar wird diese Schwachstelle nur über die Weboberfläche von MOVEit aufgedeckt, nicht über andere Zugriffswege wie SFTP.
- Durchsuchen Sie Ihre Protokolle für neu hinzugefügte Webserverdateien, neu erstellte Benutzerkonten und unerwartet große Datendownloads. Progress verfügt über eine Liste der zu durchsuchenden Orte sowie der Dateinamen und der zu suchenden Orte.
- Wenn Sie ein Programmierer sind, Desinfizieren Sie Ihre Eingaben.
- Wenn Sie ein SQL-Programmierer sind, verwendete parametrisierte Abfragen, anstatt Abfragebefehle zu generieren, die Zeichen enthielten, die von der Person gesteuert wurden, die die Anfrage sendete.
Bei vielen, wenn nicht den meisten bisher untersuchten Webshell-basierten Angriffen, Fortschritt deutet darauf hin dass Sie wahrscheinlich eine betrügerische Webshell-Datei mit dem Namen finden werden human2.aspx
, möglicherweise zusammen mit neu erstellten schädlichen Dateien mit einem .cmdline
Erweiterung.
(Sophos-Produkte erkennen und blockieren bekannte Webshell-Dateien als Troj/WebShel-GO, ob sie angerufen werden human2.aspx
oder nicht.)
Denken Sie jedoch daran, dass andere Angreifer, wenn sie vor der Veröffentlichung des Patches von diesem Zero-Day wussten, möglicherweise andere und möglicherweise subtilere Befehle eingeschleust haben, die jetzt nicht durch Scannen nach zurückgebliebener Malware oder durch Suchen erkannt werden können für bekannte Dateinamen, die möglicherweise in Protokollen auftauchen.
Vergessen Sie nicht, Ihre Zugriffsprotokolle im Allgemeinen zu überprüfen, und wenn Sie keine Zeit haben, dies selbst zu tun, haben Sie keine Angst davor um Hilfe bitten!
Erfahren Sie mehr darüber Sophos Managed Detection and Response:
Bedrohungssuche, -erkennung und -reaktion rund um die Uhr ▶
Fehlt Ihnen die Zeit oder das Fachwissen, um sich um die Reaktion auf Cybersicherheitsbedrohungen zu kümmern? Befürchten Sie, dass die Cybersicherheit Sie am Ende von all den anderen Dingen ablenken wird, die Sie tun müssen?
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 15%
- 2021
- a
- Fähig
- Über uns
- darüber
- oben
- Absolute
- Zugang
- Trading Konten
- Erreichen
- Handlungen
- präsentieren
- berührt das Schneidwerkzeug
- hinzufügen
- hinzugefügt
- Zusätzliche
- advanced
- beeinflussen
- Angst
- Nach der
- Alle
- erlauben
- entlang
- bereits
- ebenfalls
- an
- und
- jedem
- etwas
- von jedem Standort
- erscheinen
- SIND
- AS
- At
- Attacke
- Anschläge
- Autor
- Auto
- Automatisiert
- Im Prinzip so, wie Sie es von Google Maps kennen.
- Automation
- bewusst
- Zurück
- Backend
- background-image
- Badewanne
- BE
- wurde
- weil
- war
- Bevor
- hinter
- unten
- blindlings
- Blockieren
- Bobby
- Grenze
- beide
- Boden
- Verletzung
- Break
- Browser
- Browsing
- Bugs
- aber
- by
- namens
- kam
- CAN
- Fähigkeiten
- österreichische Unternehmen
- vorsichtig
- Karikatur
- Häuser
- Verursachen
- verursacht
- Ursachen
- Center
- sicher
- Kette
- Charakter
- Zeichen
- klassisch
- Cloud
- Code
- Zusammenarbeit
- Farbe
- wie die
- kommt
- Kommentar
- Unternehmen
- abschließen
- Sie
- aufeinanderfolgenden
- betrachtet
- konstruieren
- Inhalt
- Smartgeräte App
- gesteuert
- verkaufen
- umgewandelt
- KONZERN
- Dazugehörigen
- könnte
- Kurs
- Abdeckung
- erstellen
- erstellt
- Crooks
- Kunden
- Internet-Sicherheit
- technische Daten
- Datenmissbrauch
- Datenbase
- Datenbanken
- entscheidet
- liefern
- Abteilung
- erkannt
- Entdeckung
- entschlossen
- Entwicklung
- DevOps
- anders
- Direkt
- Display
- Störung
- do
- die
- Nicht
- herunterladen
- Downloads
- Drop
- Abwurf
- synchronisiert
- jeder
- Früh
- Einfache
- Ende
- Fehler
- Sogar
- ÜBERHAUPT
- jeden Tag
- Beispiel
- Beispiele
- ausführen
- Ausführung
- vorhandenen
- Expertise
- Ausnutzen
- ausgesetzt
- Erweiterung
- extern
- extra
- Tatsache
- vertraut
- weit
- gemustert
- Reichen Sie das
- Mappen
- Finden Sie
- Vorname
- folgen
- Folgende
- Aussichten für
- gefunden
- FRAME
- für
- Materials des
- Vorderes Ende
- Bande
- Allgemeines
- allgemeiner Zweck
- allgemein
- erzeugen
- erzeugt
- Erzeugung
- Generator
- bekommen
- gibt
- Unterstützung
- gut
- groß
- Gruppe an
- hätten
- Handling
- Haben
- gehört
- Höhe
- ein Geschenk
- schweben
- Ultraschall
- Hilfe
- aber
- HTML
- http
- HTTPS
- Jagd
- if
- Iis
- in
- Einschließlich
- berüchtigt
- Information
- injizieren
- Eingänge
- beantragen müssen
- Schnittstelle
- Schnittstellen
- intern
- Internet
- in
- beteiligen
- beteiligt
- Herausgegeben
- IT
- SEINE
- selbst
- nur
- nur einer
- bekannt
- grosse
- großflächig
- Nachname
- später
- starten
- lernen
- links
- weniger
- Gefällt mir
- Line
- Linien
- Liste
- SIEHT AUS
- Nachschlagen
- gemacht
- um
- MACHT
- Making
- Malware
- verwalten
- verwaltet
- Management
- viele
- März
- Marge
- Abstimmung
- max-width
- Kann..
- bedeuten
- Bedeutung
- Mittel
- Microsoft
- könnte
- mehr
- vor allem warme
- Name
- Namens
- Namen
- Need
- Bedürfnisse
- Netzwerk
- Neu
- neu
- News
- normal
- nichts
- jetzt an
- of
- WOW!
- on
- einmal
- EINEM
- einzige
- or
- Auftrag
- Andere
- Andernfalls
- UNSERE
- Ergebnisse
- Möglichkeiten für das Ausgangssignal:
- besitzen
- Seite
- Parameter
- Teile
- Patch
- Alexander
- vielleicht
- person
- Länder/Regionen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Position
- möglich
- BLOG-POSTS
- wahrscheinlich
- Prozessdefinierung
- Produkte
- Programm
- Programmierer
- Fortschritt
- die
- bietet
- veröffentlicht
- setzen
- Abfragen
- Angebot!
- Angebot
- Ransomware
- lieber
- Roh
- Lesen Sie mehr
- Lesebrillen
- wirklich
- bezogene
- relativ
- entfernt
- antworten
- Anforderung
- angefordert
- Zugriffe
- Antwort
- REST
- Überprüfen
- Recht
- Führen Sie
- Laufen
- gleich
- sagen
- sagt
- Scannen
- Skripte
- Suche
- Suche
- Zweite
- Verbindung
- sehen
- Verkauft
- senden
- Sendung
- empfindlich
- geschickt
- Leistungen
- Teilen
- ,,teilen"
- Short
- erklären
- gezeigt
- einfach
- Single
- So
- bis jetzt
- Software
- solide
- einige
- besondere
- spezifisch
- SQL
- sQL-Injection
- Anfang
- Erklärung
- speichern
- gelagert
- Schnur
- Struktur
- abschicken
- eingereicht
- so
- Schlägt vor
- liefern
- Supply Chain
- Unterstützte
- misstrauisch
- SVG
- Syntax
- System
- Tabelle
- Nehmen
- Team
- Begriff
- AGB
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- Dort.
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- Bedrohung
- nach drei
- während
- Zeit
- zu
- Top
- privaten Transfer
- Transfers
- Übergang
- transparent
- behandeln
- ausgelöst
- WENDE
- Turned
- XNUMX
- bis
- auf dem neusten Stand
- URL
- -
- benutzt
- Mitglied
- Benutzerschnittstelle
- Verwendung von
- gewöhnlich
- Version
- Besuchen Sie
- Verwundbarkeit
- wurde
- Weg..
- we
- Netz
- Web-Browser
- Web-Server
- Webbasiert
- Woche
- GUT
- waren
- Was
- wann
- ob
- welche
- WHO
- ganze
- warum
- werden wir
- mit
- ohne
- Worte
- Arbeiten
- trainieren
- Arbeitsablauf.
- Workflow-Automatisierung
- arbeiten,
- besorgt
- würde
- U
- Ihr
- sich selbst
- Zephyrnet