Eelmisel nädalal teavitas Progress Software Corporation, mis müüb tarkvara ja teenuseid kasutajaliidese arendamiseks, devopsiks, failihalduseks ja muuks, oma kliente. MOVEitTransfer ja sellega seotud MOVEit Cloud tooted umbes a kriitiline haavatavus dubleeritud CVE-2023-34362.
Nagu nimigi ütleb, on MOVEit Transfer süsteem, mis muudab failide salvestamise ja jagamise meeskonnas, osakonnas, ettevõttes või isegi tarneahelas lihtsaks.
oma enda sõnad, "MOVEit pakub turvalist koostööd ja tundlike andmete automatiseeritud failiedastust ja täiustatud töövoo automatiseerimisvõimalusi ilma skriptimiseta."
Kahjuks osutus MOVEiti veebipõhine kasutajaliides, mis muudab failide jagamise ja haldamise lihtsaks ainult veebibrauseri abil (protsess, mida üldiselt peetakse valesti suunatud või "kaotsiläinud" failidele vähem kalduvaks kui nende jagamine e-posti teel), SQL-i. süstimise haavatavus.
SQL-i süstid selgitatud
Veebipõhised SQL-i süstimisvead tekivad HTTP-päringu esitamisel veebiserverisse teisendatakse ebaturvaliselt päringukäsuks, mis seejärel väljastatakse serveri poolt ise teha andmebaasist otsingu, et välja selgitada, milline HTTP-vastus konstrueerida.
Näiteks võib veebilehelt käivitatud andmebaasiotsing lõppeda teie brauseri taotletud URL-iga, mis näeb välja järgmine:
https://search.example.com/?type=file&name=duck
Päringu tekst duck
Seejärel saab selle URL-i nimeparameetrist ekstraheerida, teisendada andmebaasi päringu süntaksiks ja õmmelda andmebaasiserverile esitatavaks käsuks.
Kui taustaandmed on salvestatud SQL-i andmebaasi, võib veebiserver teisendada selle URL-i SQL-käsuks, nagu allpool näidatud.
. %
tekstile lisatud tähemärke duck
See tähendab, et otsingutermin võib ilmuda otsitavas failinimes kõikjal ja SQL-i tekstistringi tähistamiseks lisatakse mõlemasse otsa üksikud jutumärgid:
VALI failinimi FROM filesdb WHERE nimi LIKE '%duck%'
Andmed, mis päringust tagasi tulevad, saab seejärel kenasti vormindada, teisendada HTML-iks ja saata tagasi HTTP-vastusena teie brauserisse, mis võib anda teile allalaadimiseks klõpsatava loendi sobivatest failidest.
Muidugi peab veebiserver olema otsinguterminina esitatud failinimedega väga ettevaatlik juhuks, kui pahatahtlik kasutaja peaks looma ja taotlema sellise URL-i:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
Kui see otsingutermin teisendati pimesi päringustringiks, võib teil olla võimalik meelitada veebiserverit saatma SQL-serverile sellise käsu:
SELECT failinimi FROM filesdb WHERE nimi LIKE '%duck';Drop TABLE filesdb;--%'
Kuna semikoolon (;
) toimib SQL-is avalduste eraldajana, on see üherealine käsk tegelikult sama, mis kolme järjestikuse käsu saatmine:
SELECT failinimi FROM filesdb WHERE nimi LIKE '%duck' -- vastab nimedele lõpuga duck DROP TABLE filesdb -- kustutab kogu andmebaasi --%' -- kommentaar, ei tee midagi
Vargsi, sest iga pärast --
SQL jätab programmeerija kommentaarina kõrvale, on need kolm rida samad:
VALI failinimi FROM filesdb WHERE nimi LIKE '%duck' DROP TABLE filesdb
Saate tagasi nimekirja kõigist andmebaasis olevatest failinimedest, mis lõpevad stringiga duck
(SQL-i erimärk %
otsingusõna alguses tähendab "vastab millelegi kuni selle punktini"…
…aga sa oled viimane inimene, kes sellest midagi kasulikku saab filesdb
andmebaasi, sest teie petturlik otsingutermin jätkab otsingut SQL-käsuga, et kustutada kogu andmebaas.
Väikesed Bobby lauad
Kui olete kunagi kuulnud administraatoreid või kodeerijaid nalja tegemas Väikesed Bobby lauad, sest selline SQL-i süstimine jäädvustati aastal XKCD koomiks tagasi 2007. aastal:
Nagu koomiks viimases kaadris lõpetab, peate tõesti oma andmebaasi sisendid desinfitseerima, mis tähendab, et peate olema väga ettevaatlik, et mitte lasta otsingutermini esitajal kontrollida, kuidas kaasatud taustaserverid otsingukäsku tõlgendavad.
Näete, miks seda tüüpi nippi tuntakse süstimisrünnakuna: ülaltoodud näidetes põhjustavad pahatahtlikud otsinguterminid päringu käsitlemisse täiendava SQL-käsu sisestamise.
Tegelikult hõlmavad mõlemad näited kahte sisestatud käsku, mis järgivad salaja sisestatud märki "sulge tsitaat", et otsingustring varakult lõpetada. Esimene lisakäsk on hävitav DROP TABLE
juhendamine. Teine on "kommentaari käsk", mis paneb ülejäänud rea osa tähelepanuta jätma, süües seega kavalalt lõpu %'
serveri käsugeneraatori poolt genereeritud märgid, mis muidu oleks põhjustanud süntaksivea ja takistanud sisestamist DROP TABLE
käsk töölt.
Head uudised ja halvad uudised
Hea uudis on antud juhul see, et kui haavatavusest teada sai, paigas Progress kõik oma toetatud MOVEiti versioonid koos pilvepõhise teenusega.
Seega, kui kasutate pilveversiooni, olete nüüd automaatselt ajakohane ja kui kasutate MOVEiti oma võrgus, siis loodame, et olete praeguseks paigad teinud.
Halb uudis on see, et see haavatavus oli nullpäev, mis tähendab, et Progress sai sellest teada, kuna pahad olid seda juba ära kasutanud, mitte enne, kui nad seda teha said.
Teisisõnu, selleks ajaks, kui parandasite oma servereid (või Progress parandas oma pilveteenust), võisid kelmid juba teie MOVEit SQL-i taustaandmebaasidesse sisestanud petturlikke käske, millel on mitmeid võimalikke tulemusi:
- Olemasolevate andmete kustutamine. Nagu ülal näidatud, on SQL-i süstimise rünnaku klassikaline näide suuremahuline andmete hävitamine.
- Olemasolevate andmete väljafiltreerimine. SQL-i tabelite mahajätmise asemel võivad ründajad sisestada oma päringuid, õppides nii mitte ainult teie sisemiste andmebaaside struktuuri, vaid ka nende kõige mahlasemaid osi välja tõmbama ja varastama.
- Olemasolevate andmete muutmine. Peenemad ründajad võivad otsustada teie andmeid varastamise asemel (või sama hästi) rikkuda või häirida.
- Uute failide, sealhulgas pahavara installimine. Ründajad võivad sisestada SQL-i käske, mis omakorda käivitavad väliseid süsteemikäske, saavutades nii suvalise koodi kaugkäitamise teie võrgus.
Üks rühm ründajaid, väidetavalt Microsofti poolt kurikuulus Clopi lunavarajõuguks (või sellega seotud olemiseks) on ilmselt kasutanud seda haavatavust nn. veebikestad mõjutatud serverites.
Kui te pole veebikestadega tuttav, lugege meie artiklit tavaline ingliskeelne seletaja mille avaldasime tülikate HAFNIUM-rünnakute ajal 2021. aasta märtsis:
Webshelli oht
Lihtsamalt öeldes pakuvad veebishellid ründajatele, kes saavad teie veebiserverisse uusi faile lisada, võimaluse hiljem tagasi tulla, vabal ajal sisse murda ja kirjutusjuurdepääsu täielikku kaugjuhtimispulti muuta.
Veebikestad töötavad, kuna paljud veebiserverid käsitlevad teatud faile (tavaliselt määratakse nende kataloogi või nende laienduse järgi) käivitatavate skriptidena. kasutatakse tagasisaatmiseks lehe loomiseks, mitte vastuses kasutatav tegelik sisu.
Näiteks Microsofti IIS (interneti teabeserver) on tavaliselt konfigureeritud nii, et kui veebibrauser nõuab faili nimega nt hello.html
, siis loetakse selle faili töötlemata, muutmata sisu sisse ja saadetakse tagasi brauserisse.
Seega, kui selles on pahavara hello.html
faili, siis mõjutab see serverisse sirvivat inimest, mitte serverit ennast.
Aga kui faili kutsutakse, ütleme hello.aspx
(kus ASP on ennast kirjeldava fraasi lühend Aktiivsed serveri lehed), käsitletakse seda faili serveri käivitatava skriptiprogrammina.
Selle faili käivitamine programmina, selle asemel, et see lihtsalt andmetena sisse lugeda, genereerib väljundi, mis saadetakse vastuseks.
Teisisõnu, kui selles on pahavara hello.aspx
faili, siis mõjutab see otseselt serverit ennast, mitte seda sirvivat inimest.
Lühidalt, veebishelli faili kukutamine käsusüstimise rünnaku kõrvalmõjuna tähendab, et ründajad võivad hiljem tagasi tulla ja külastada selle veebishelli failinimele vastavat URL-i…
...nad saavad käivitada oma pahavara otse teie võrgus, kasutades midagi kahtlasemat kui igapäevase veebibrauseri poolt tehtud tagasihoidlik HTTP-päring.
Tõepoolest, mõned veebishellid koosnevad vaid ühest pahatahtliku skripti reast, näiteks ühest käsust, mis ütleb: "hankige päringu konkreetsest HTTP-päisest tekst ja käivitage see süsteemikäsuna".
See annab üldotstarbelise käsu- ja kontrollijuurdepääsu igale ründajale, kes teab õiget külastatavat URL-i ja õiget HTTP-päist, mida kasutada petturliku käsu edastamiseks.
Mida teha?
- Kui olete MOVEiti kasutaja, veenduge, et kõik teie võrgus olevad tarkvara eksemplarid on paigatud.
- Kui te ei saa praegu paika panna, lülitage oma MOVEiti serverite veebipõhised (HTTP ja HTTP) liidesed välja seni, kuni saate. Ilmselt ilmneb see haavatavus ainult MOVEiti veebiliidese kaudu, mitte muude juurdepääsuteede (nt SFTP) kaudu.
- Otsige oma logisid äsja lisatud veebiserveri failide, äsja loodud kasutajakontode ja ootamatult suurte andmete allalaadimise jaoks. Progressil on otsitavate kohtade loend koos failinimede ja otsitavate kohtade loendiga.
- Kui olete programmeerija, desinfitseerige oma sisendid.
- Kui olete SQL-i programmeerija, kasutas parameetritega päringuid, selle asemel, et genereerida päringukäske, mis sisaldavad päringu saatja juhitud märke.
Paljudes, kui mitte enamikes seni uuritud veebishellipõhistes rünnakutes Edusammud viitavad et leiate tõenäoliselt võltsitud veebishelli faili nimega human2.aspx
, võib-olla koos äsja loodud pahatahtlike failidega, millel on a .cmdline
pikendamine.
(Sophose tooted tuvastavad ja blokeerivad teadaolevaid veebishellifaile kui Troj/WebShel-GO, kas neid kutsutakse human2.aspx
või mitte.)
Pidage aga meeles, et kui teised ründajad teadsid sellest nullpäevast enne plaastri ilmumist, võisid nad sisestada teistsuguseid ja võib-olla ka peenemaid käske, mida ei saa nüüd tuvastada, kui otsite maha jäänud pahavara ega otsi. teadaolevate failinimede jaoks, mis võivad logides kuvada.
Ärge unustage oma juurdepääsuloge üldiselt üle vaadata ja kui teil pole aega seda ise teha, ärge kartke Küsi abi!
Lisateave Sophose hallatav tuvastamine ja reageerimine:
Ööpäevaringne ohtude otsimine, avastamine ja reageerimine ▶
Kas napib aega või teadmisi küberjulgeolekuohtudele reageerimiseks? Kas olete mures, et küberturvalisus tõmbab teie tähelepanu kõrvale kõigilt muudelt asjadelt, mida peate tegema?
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 15%
- 2021
- a
- Võimalik
- MEIST
- sellest
- üle
- absoluutne
- juurdepääs
- Kontod
- saavutamisel
- õigusaktid
- tegelik
- tegelikult
- lisama
- lisatud
- Täiendavad lisad
- edasijõudnud
- mõjutada
- kahjuks
- pärast
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- mööda
- juba
- Ka
- an
- ja
- mistahes
- midagi
- kuskil
- ilmuma
- OLEME
- AS
- At
- rünnak
- Reageerib
- autor
- auto
- Automatiseeritud
- automaatselt
- Automaatika
- teadlik
- tagasi
- Taustaprogramm
- background-image
- Halb
- BE
- sai
- sest
- olnud
- enne
- taga
- alla
- pimesi
- Blokeerima
- Bobby
- piir
- mõlemad
- põhi
- rikkumine
- Murdma
- brauseri
- Sirvimine
- vead
- kuid
- by
- kutsutud
- tuli
- CAN
- võimeid
- mis
- ettevaatlik
- multifilm
- juhul
- Põhjus
- põhjustatud
- põhjuste
- keskus
- kindel
- kett
- iseloom
- märki
- klassika
- Cloud
- kood
- koostöö
- värv
- Tulema
- tuleb
- kommentaar
- ettevõte
- täitma
- seotud
- järjestikune
- kaaluda
- ehitama
- sisu
- kontrollida
- kontrollitud
- muutma
- ümber
- KORPORATSIOONI
- Vastav
- võiks
- kursus
- cover
- looma
- loodud
- Kelmid
- Kliendid
- Küberturvalisus
- andmed
- andmete rikkumist
- andmebaas
- andmebaasid
- otsustama
- edastamine
- osakond
- tuvastatud
- Detection
- kindlaksmääratud
- & Tarkvaraarendus
- DevOps
- erinev
- otse
- Ekraan
- Häirima
- do
- ei
- Ära
- lae alla
- allalaadimine
- Drop
- Kukkumine
- dubleeritud
- iga
- Varajane
- lihtne
- lõpp
- viga
- Isegi
- KUNAGI
- igapäevane
- näide
- näited
- täitma
- täitmine
- olemasolevate
- teadmised
- Ekspluateeri
- avatud
- laiendamine
- väline
- lisatasu
- asjaolu
- tuttav
- kaugele
- arvasin
- fail
- Faile
- leidma
- esimene
- järgima
- Järel
- eest
- avastatud
- FRAME
- Alates
- esi-
- Esiots
- Kamp
- Üldine
- Üldine otstarve
- üldiselt
- tekitama
- loodud
- teeniva
- generaator
- saama
- annab
- andmine
- hea
- suur
- Grupp
- olnud
- Käsitsemine
- Olema
- kuulnud
- kõrgus
- lootus
- hõljuma
- Kuidas
- Kuidas
- aga
- HTML
- http
- HTTPS
- Jaht
- if
- Iis
- in
- Kaasa arvatud
- kurikuulus
- info
- süstima
- sisendite
- selle asemel
- Interface
- liidesed
- sisemine
- Internet
- sisse
- kaasama
- seotud
- Välja antud
- IT
- ITS
- ise
- lihtsalt
- ainult üks
- teatud
- suur
- suuremahuline
- viimane
- pärast
- algatama
- õppimine
- lahkus
- vähem
- nagu
- joon
- liinid
- nimekiri
- välimus
- lookup
- tehtud
- tegema
- TEEB
- Tegemine
- malware
- juhtima
- juhitud
- juhtimine
- palju
- Märts
- Varu
- sobitamine
- max laiuse
- mai..
- keskmine
- tähendus
- vahendid
- Microsoft
- võib
- rohkem
- kõige
- nimi
- Nimega
- nimed
- Vajadus
- vajadustele
- võrk
- Uus
- äsja
- uudised
- normaalne
- mitte midagi
- nüüd
- of
- maha
- on
- kunagi
- ONE
- ainult
- or
- et
- Muu
- muidu
- meie
- välja
- tulemusi
- väljund
- enda
- lehekülg
- parameeter
- osad
- Plaaster
- Paul
- ehk
- inimene
- Kohad
- Platon
- Platoni andmete intelligentsus
- PlatoData
- positsioon
- võimalik
- Postitusi
- tõenäoliselt
- protsess
- Toodet
- Programm
- Programmeerija
- Edu
- anda
- annab
- avaldatud
- panema
- päringud
- tsitaat
- valik
- ransomware
- pigem
- Töötlemata
- Lugenud
- Lugemine
- tõesti
- seotud
- suhteline
- kauge
- vastus
- taotleda
- palutud
- Taotlusi
- vastus
- REST
- läbi
- õige
- jooks
- jooksmine
- sama
- ütlema
- ütleb
- skaneerimine
- skripte
- Otsing
- otsimine
- Teine
- kindlustama
- vaata
- Müüb
- saatma
- saatmine
- tundlik
- Saadetud
- teenus
- Teenused
- Jaga
- jagamine
- Lühike
- näitama
- näidatud
- lihtsalt
- ühekordne
- So
- nii kaugel
- tarkvara
- tahke
- mõned
- eriline
- konkreetse
- SQL
- SQL süst
- algus
- väljavõte
- salvestada
- ladustatud
- nöör
- struktuur
- esitama
- esitatud
- selline
- Soovitab
- varustama
- tarneahelas
- Toetatud
- kahtlane
- SVG
- süntaks
- süsteem
- tabel
- Võtma
- meeskond
- termin
- tingimused
- kui
- et
- .
- oma
- Neile
- SIIS
- Seal.
- Need
- nad
- asjad
- see
- oht
- kolm
- läbi kogu
- aeg
- et
- ülemine
- üle
- ülekandeid
- üleminek
- läbipaistev
- käsitlema
- vallandas
- Pöörake
- Pöördunud
- kaks
- kuni
- ajakohane
- URL
- kasutama
- Kasutatud
- Kasutaja
- Kasutajaliides
- kasutamine
- tavaliselt
- versioon
- kaudu
- visiit
- haavatavus
- oli
- Tee..
- we
- web
- veebibrauseri
- veebiserver
- Veebipõhine
- nädal
- Hästi
- olid
- M
- millal
- kas
- mis
- WHO
- kogu
- miks
- will
- koos
- ilma
- sõnad
- Töö
- treening
- töövoog
- töövoo automaatika
- töö
- mures
- oleks
- sa
- Sinu
- ise
- sephyrnet