هفته گذشته، Progress Software Corporation که نرمافزار و خدماتی را برای توسعه رابط کاربری، توسعه، مدیریت فایل و موارد دیگر میفروشد، به مشتریان خود هشدار داد. انتقال MOVEit و مرتبط MOVEit Cloud محصولات در مورد a آسیب پذیری حیاتی دوبله شده CVE-2023-34362.
همانطور که از نام آن پیداست، MOVEit Transfer سیستمی است که ذخیره و به اشتراک گذاری فایل ها را در یک تیم، یک بخش، یک شرکت یا حتی یک زنجیره تامین آسان می کند.
در آن کلمات خود, MOVEit همکاری ایمن و انتقال خودکار فایل داده های حساس و قابلیت های پیشرفته اتوماسیون گردش کار را بدون نیاز به اسکریپت فراهم می کند.
متأسفانه، قسمت جلویی مبتنی بر وب MOVEit، که اشتراک گذاری و مدیریت فایل ها را فقط با استفاده از یک مرورگر وب آسان می کند (فرآیندی که معمولاً کمتر در معرض هدایت اشتباه یا گم شدن فایل ها نسبت به اشتراک گذاری آنها از طریق ایمیل در نظر گرفته می شود)، یک SQL دارد. آسیب پذیری تزریق
تزریق SQL توضیح داده شده است
اشکالات تزریق SQL مبتنی بر وب زمانی ایجاد می شود که یک درخواست HTTP ارسال می شود به یک وب سرور به طور ناامن به یک دستور query تبدیل می شود که سپس صادر می شود توسط سرور خود را به انجام جستجوی پایگاه داده به منظور کار کردن به پاسخ HTTP برای ساخت.
به عنوان مثال، جستجوی پایگاه داده که از یک صفحه وب شروع می شود ممکن است به عنوان یک URL درخواست شده توسط مرورگر شما به این شکل ختم شود:
https://search.example.com/?type=file&name=duck
متن پرس و جو duck
سپس می تواند از پارامتر نام در URL استخراج شود، به نحو پرس و جو پایگاه داده تبدیل شود، و به دستوری برای ارسال به سرور پایگاه داده متصل شود.
اگر داده های پشتیبان در یک پایگاه داده SQL ذخیره شوند، وب سرور ممکن است آن URL را به یک دستور SQL مانند آنچه در زیر نشان داده شده است تبدیل کند.
La %
کاراکترهای اضافه شده به متن duck
به این معنی که عبارت جستجو می تواند در هر جایی از نام فایل بازیابی شده ظاهر شود، و کاراکترهای نقل قول تکی در هر انتها به عنوان نشانگر برای نشان دادن یک رشته متنی SQL اضافه می شوند:
نام فایل را از فایلها انتخاب کنید.
سپس دادههایی که از پرسوجو برمیگردند میتوانند به خوبی قالببندی شوند، به HTML تبدیل شوند و به عنوان یک پاسخ HTTP به مرورگر شما ارسال شوند، شاید فهرستی قابل کلیک از فایلهای منطبق را برای دانلود به شما ارائه دهد.
البته، سرور وب باید واقعا مراقب نام فایل هایی باشد که به عنوان عبارت جستجو ارسال می شوند، در صورتی که یک کاربر مخرب قصد ایجاد و درخواست URL مانند زیر را داشته باشد:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
اگر آن عبارت جستجو کورکورانه به یک رشته پرس و جو تبدیل شود، ممکن است بتوانید وب سرور را فریب دهید تا دستوری مانند این را به سرور SQL ارسال کند:
نام فایل را از فایلهای db انتخاب کنید جایی که نامی مانند '%duck';Drop TABLE filesdb;--%'
چون نقطه ویرگول (;
) به عنوان جداکننده دستورات در SQL عمل می کند، این دستور تک خطی در واقع همان ارسال سه دستور متوالی است:
نام فایل FROM filesdb را انتخاب کنید جایی که نام مانند '%duck' -- با نام های پایانی مطابقت دارد DROP TABLE filesdb -- کل پایگاه داده را حذف می کند --%' -- نظر، کاری انجام نمی دهد
یواشکی، زیرا هر روز بعد --
توسط SQL به عنوان نظر برنامه نویس نادیده گرفته می شود، این سه خط یکسان هستند:
نام فایل را از فایلهای db انتخاب کنید، جایی که نامی مانند «% اردک»، فایلهای TABLE را رها کنید.
شما فهرستی از تمام نامهای فایل در پایگاه داده که با رشته ختم میشود، دریافت خواهید کرد duck
(کاراکتر SQL ویژه %
در شروع یک عبارت جستجو به معنای "تطابق هر چیزی تا این مرحله" است)…
... اما شما آخرین فردی خواهید بود که از آن چیز مفیدی به دست می آورید filesdb
پایگاه داده، زیرا عبارت جستجوی سرکش شما جستجو را با دستور SQL دنبال می کند تا کل پایگاه داده حذف شود.
میزهای بابی کوچولو
اگر تا به حال شنیده اید که syadmin ها یا کدنویس ها در مورد آنها جوک می کنند میزهای بابی کوچولو، به این دلیل است که این نوع تزریق SQL در یک جاودانه شد کارتون XKCD در سال 2007:
همانطور که کارتون در فریم آخر به پایان می رسد، شما واقعا باید ورودی های پایگاه داده خود را پاکسازی کنید، به این معنی که باید بسیار مراقب باشید که اجازه ندهید شخصی که عبارت جستجو را ارسال می کند کنترل کند که چگونه فرمان جستجو توسط سرورهای پشتیبان درگیر تفسیر می شود.
میتوانید ببینید که چرا این نوع ترفند به عنوان حمله تزریق شناخته میشود: در مثالهای بالا، عبارات جستجوی مخرب باعث میشوند که یک دستور SQL اضافی به مدیریت درخواست تزریق شود.
در واقع، هر دوی این مثالها شامل دو دستور تزریقی میشوند که بهدنبال کاراکتر «نقل قول نزدیک» هستند که بهصورت مخفیانه درج شده است تا رشته جستجو را زودتر تمام کند. اولین دستور اضافی، مخرب است DROP TABLE
دستورالعمل دومی یک "فرمان نظر" است که باعث می شود بقیه خط نادیده گرفته شود، در نتیجه با حیله گری دنباله ها را از بین می برد. %'
کاراکترهای تولید شده توسط مولد فرمان سرور، که در غیر این صورت یک خطای نحوی ایجاد کرده و از تزریق جلوگیری می کند. DROP TABLE
فرمان از کار کردن
خبرهای خوب و خبرهای بد
خبر خوب در این مورد این است که Progress پس از آگاهی از آسیبپذیری، تمامی نسخههای MOVEit را به همراه سرویس مبتنی بر ابر خود وصله کرد.
بنابراین، اگر از نسخه ابری استفاده میکنید، اکنون بهطور خودکار بهروز میشوید، و اگر MOVEit را در شبکه خود اجرا میکنید، امیدواریم تا کنون وصله کرده باشید.
خبر بد این است که این آسیبپذیری یک روز صفر بود، به این معنی که Progress متوجه آن شد زیرا افراد بد قبلاً از آن سوء استفاده میکردند، نه قبل از اینکه بفهمند چگونه این کار را انجام دهند.
به عبارت دیگر، زمانی که سرورهای خود را وصله کردید (یا Progress سرویس ابری خود را وصله کرد)، کلاهبرداران ممکن است از قبل دستورات سرکش را به پایگاه دادههای باطن MOVEit SQL شما با طیف وسیعی از نتایج ممکن تزریق کرده باشند:
- حذف داده های موجود همانطور که در بالا نشان داده شد، مثال کلاسیک حمله تزریق SQL، تخریب داده در مقیاس بزرگ است.
- استخراج داده های موجود به جای حذف جداول SQL، مهاجمان می توانند درخواست های خود را تزریق کنند، بنابراین نه تنها ساختار پایگاه داده های داخلی شما را یاد می گیرند، بلکه آبدارترین قسمت های آنها را نیز استخراج و سرقت می کنند.
- اصلاح داده های موجود مهاجمان ظریف تر ممکن است تصمیم بگیرند به جای سرقت (یا همچنین) داده های شما را خراب یا مختل کنند.
- کاشت فایل های جدید، از جمله بدافزار. مهاجمان می توانند دستورات SQL را تزریق کنند که به نوبه خود دستورات سیستم خارجی را اجرا می کنند، بنابراین به اجرای کد از راه دور دلخواه در داخل شبکه شما دست می یابند.
یک گروه از مهاجمان، ادعا شده است توسط مایکروسافت برای قرار گرفتن (یا ارتباط با آن) باج افزار بدنام Clop، ظاهراً از این آسیب پذیری برای کاشت آنچه به نام شناخته می شود استفاده کرده است. پوسته های وب در سرورهای آسیب دیده
اگر با پوسته های وب آشنایی ندارید، ما را بخوانید توضیح دهنده ساده-انگلیسی که در زمان حملات دردسرساز HAFNIUM در مارس 2021 منتشر کردیم:
خطر Webshell
به زبان ساده، پوستههای وب راهی برای مهاجمانی فراهم میکنند که میتوانند فایلهای جدیدی را به وب سرور شما اضافه کنند تا بعداً بازگردند، در اوقات فراغت خود نفوذ کنند، و به طور موقت به کنترل کامل از راه دور دسترسی داشته باشند.
پوستههای وب کار میکنند زیرا بسیاری از سرورهای وب فایلهای خاصی را (معمولاً با دایرکتوری که در آن قرار دارند یا پسوندی که دارند تعیین میشود) بهعنوان اسکریپتهای اجرایی در نظر میگیرند. برای تولید صفحه برای ارسال مجدد استفاده می شود، به جای محتوای واقعی برای استفاده در پاسخ.
برای مثال، IIS (سرور اطلاعات اینترنتی) مایکروسافت معمولاً به گونهای پیکربندی میشود که اگر یک مرورگر وب درخواست فایلی به نام، مثلاً hello.html
، سپس محتوای خام و اصلاح نشده آن فایل خوانده می شود و به مرورگر ارسال می شود.
بنابراین، اگر بدافزاری در آن وجود داشته باشد hello.html
فایل، سپس بر شخصی که در حال مرور به سرور است تأثیر می گذارد، نه خود سرور.
اما اگر فایل فراخوانی شد، بگویید: hello.aspx
(که در آن ASP مختصر عبارت خود توصیفی است صفحات سرور فعال، سپس آن فایل به عنوان یک برنامه اسکریپت برای سرور در نظر گرفته می شود تا اجرا شود.
اجرای آن فایل بهعنوان یک برنامه، بهجای خواندن آن بهعنوان داده، خروجیای را تولید میکند که در پاسخ ارسال میشود.
به عبارت دیگر، اگر بدافزاری در آن وجود داشته باشد hello.aspx
پس از آن مستقیماً روی خود سرور تأثیر می گذارد، نه شخصی که در حال مرور آن است.
به طور خلاصه، حذف یک فایل webshell به عنوان اثر جانبی حمله تزریق دستور به این معنی است که مهاجمان میتوانند بعداً بازگردند و با مراجعه به URL مربوط به نام فایل آن webshell…
…آنها می توانند بدافزار خود را مستقیماً در داخل شبکه شما اجرا کنند، با استفاده از چیزی مشکوک تر از یک درخواست HTTP ساده که توسط یک مرورگر وب روزمره انجام می شود.
در واقع، برخی از پوستههای وب فقط از یک خط اسکریپت مخرب تشکیل شدهاند، به عنوان مثال، یک فرمان واحد که میگوید «متن را از یک هدر HTTP خاص در درخواست دریافت کنید و آن را به عنوان یک فرمان سیستم اجرا کنید».
این امر به هر مهاجمی که آدرس اینترنتی مناسب برای بازدید را میداند، و هدر HTTP مناسب را برای ارائه فرمان سرکش، دسترسی عمومی به دستور و کنترل میدهد.
چه کاری انجام دهید؟
- اگر کاربر MOVEit هستید، مطمئن شوید که تمام نمونه های نرم افزار موجود در شبکه شما وصله شده اند.
- اگر در حال حاضر نمی توانید پچ کنید، تا زمانی که بتوانید رابط های مبتنی بر وب (HTTP و HTTP) را برای سرورهای MOVEit خود خاموش کنید. ظاهراً این آسیبپذیری تنها از طریق رابط وب MOVEit آشکار میشود، نه از طریق مسیرهای دسترسی دیگر مانند SFTP.
- گزارش های خود را جستجو کنید برای فایل های وب سرور جدید اضافه شده، حساب های کاربری تازه ایجاد شده، و دانلودهای غیرمنتظره داده های بزرگ. Progress فهرستی از مکانهای جستجو به همراه نام فایلها و جستجو دارد.
- اگر برنامه نویس هستید، ورودی های خود را ضد عفونی کنید
- اگر یک برنامه نویس SQL هستید، به جای ایجاد دستورات پرس و جو حاوی کاراکترهای کنترل شده توسط شخصی که درخواست را ارسال می کند، از پرس و جوهای پارامتری استفاده می کند.
در بسیاری از حملات مبتنی بر پوسته وب که تاکنون بررسی شده است، پیشرفت نشان می دهد که احتمالاً یک فایل webshell سرکش به نام پیدا خواهید کرد human2.aspx
، شاید همراه با فایل های مخرب تازه ایجاد شده با a .cmdline
افزونه.
(محصولات Sophos فایلهای پوسته وب شناخته شده را شناسایی و مسدود میکنند Troj/WebShel-GO، چه نامیده شوند human2.aspx
یا نه.)
با این حال، به یاد داشته باشید که اگر مهاجمان دیگر از این روز صفر قبل از انتشار وصله اطلاع داشتند، ممکن است دستورات متفاوت و شاید ظریفتری را تزریق کرده باشند که اکنون با اسکن بدافزار باقی مانده یا جستجو قابل شناسایی نیستند. برای نام فایل های شناخته شده ای که ممکن است در گزارش ها نشان داده شوند.
فراموش نکنید که گزارش های دسترسی خود را به طور کلی مرور کنید و اگر خودتان وقت ندارید این کار را انجام دهید، نترسید. کمک بخواه!
اطلاعات بیشتر در مورد شناسایی و پاسخ مدیریت شده Sophos:
شکار، شناسایی و پاسخگویی تهدیدات 24/7 ▶
زمان یا تخصص کم برای مراقبت از پاسخ به تهدیدات امنیت سایبری؟ آیا نگران این هستید که امنیت سایبری در نهایت شما را از تمام کارهای دیگری که باید انجام دهید منحرف کند؟
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 1
- ٪۱۰۰
- 2021
- a
- قادر
- درباره ما
- در مورد IT
- بالاتر
- مطلق
- دسترسی
- حساب ها
- دستیابی به
- اعمال
- واقعی
- واقعا
- اضافه کردن
- اضافه
- اضافی
- پیشرفته
- اثر
- ترسیده
- پس از
- معرفی
- اجازه دادن
- در امتداد
- قبلا
- همچنین
- an
- و
- هر
- هر چیزی
- هر جا
- ظاهر شدن
- هستند
- AS
- At
- حمله
- حمله
- نویسنده
- خودکار
- خودکار
- بطور خودکار
- اتوماسیون
- مطلع
- به عقب
- بخش مدیریت
- تصویر پس زمینه
- بد
- BE
- شد
- زیرا
- بوده
- قبل از
- پشت سر
- در زیر
- کورکورانه
- مسدود کردن
- پلیس
- مرز
- هر دو
- پایین
- شکاف
- شکستن
- مرورگر
- مرور
- اشکالات
- اما
- by
- نام
- آمد
- CAN
- قابلیت های
- اهميت دادن
- دقیق
- کارتون
- مورد
- علت
- ایجاد می شود
- علل
- مرکز
- معین
- زنجیر
- شخصیت
- کاراکتر
- کلاسیک
- ابر
- رمز
- همکاری
- رنگ
- بیا
- می آید
- توضیح
- شرکت
- کامل
- متصل
- متوالی
- در نظر گرفته
- ساختن
- محتوا
- کنترل
- کنترل
- تبدیل
- مبدل
- شرکت
- متناظر
- میتوانست
- دوره
- پوشش
- ایجاد
- ایجاد شده
- Crooks
- مشتریان
- امنیت سایبری
- داده ها
- نقض داده ها
- پایگاه داده
- پایگاه های داده
- تصمیم گیری
- تحویل
- بخش
- شناسایی شده
- کشف
- مشخص
- پروژه
- DevOps
- مختلف
- مستقیما
- نمایش دادن
- مختل کردن
- do
- میکند
- آیا
- دانلود
- دانلود
- قطره
- رها کردن
- دوبله شده
- هر
- در اوایل
- ساده
- پست الکترونیک
- پایان
- خطا
- حتی
- تا کنون
- هر روز
- مثال
- مثال ها
- اجرا کردن
- اعدام
- موجود
- تخصص
- بهره برداری
- قرار گرفتن در معرض
- گسترش
- خارجی
- اضافی
- واقعیت
- آشنا
- بسیار
- شکل گرفت
- پرونده
- فایل ها
- پیدا کردن
- نام خانوادگی
- به دنبال
- پیروی
- برای
- یافت
- FRAME
- از جانب
- جلو
- پایان جلو
- گروه
- سوالات عمومی
- همه منظوره
- عموما
- تولید می کنند
- تولید
- مولد
- ژنراتور
- دریافت کنید
- می دهد
- دادن
- خوب
- بزرگ
- گروه
- بود
- اداره
- آیا
- شنیده
- ارتفاع
- امید
- در تردید بودن
- چگونه
- چگونه
- اما
- HTML
- HTTP
- HTTPS
- صید
- if
- Iis
- in
- از جمله
- ننگین
- اطلاعات
- تزریق کنید
- ورودی
- در عوض
- رابط
- رابط
- داخلی
- اینترنت
- به
- شامل
- گرفتار
- صادر
- IT
- ITS
- خود
- تنها
- فقط یکی
- شناخته شده
- بزرگ
- در مقیاس بزرگ
- نام
- بعد
- راه اندازی
- یادگیری
- ترک کرد
- کمتر
- پسندیدن
- لاین
- خطوط
- فهرست
- مطالب
- مراجعه
- ساخته
- ساخت
- باعث می شود
- ساخت
- نرم افزارهای مخرب
- مدیریت
- اداره می شود
- مدیریت
- بسیاری
- مارس
- حاشیه
- مطابق
- حداکثر عرض
- ممکن است..
- متوسط
- معنی
- به معنی
- مایکروسافت
- قدرت
- بیش
- اکثر
- نام
- تحت عنوان
- نام
- نیاز
- نیازهای
- شبکه
- جدید
- به تازگی
- اخبار
- طبیعی
- هیچ چی
- اکنون
- of
- خاموش
- on
- یک بار
- ONE
- فقط
- or
- سفارش
- دیگر
- در غیر این صورت
- ما
- خارج
- نتایج
- تولید
- خود
- با ما
- پارامتر
- بخش
- وصله
- پل
- شاید
- شخص
- اماکن
- افلاطون
- هوش داده افلاطون
- PlatoData
- موقعیت
- ممکن
- پست ها
- شاید
- روند
- محصولات
- برنامه
- برنامهنویس
- پیشرفت
- ارائه
- فراهم می کند
- منتشر شده
- قرار دادن
- نمایش ها
- نقل قول کردن
- محدوده
- باجافزار
- نسبتا
- خام
- خواندن
- مطالعه
- واقعا
- مربوط
- نسبی
- دور
- پاسخ
- درخواست
- خواسته
- درخواست
- پاسخ
- REST
- این فایل نقد می نویسید:
- راست
- دویدن
- در حال اجرا
- همان
- گفتن
- می گوید:
- پویش
- اسکریپت
- جستجو
- جستجو
- دوم
- امن
- دیدن
- فروش
- ارسال
- در حال ارسال
- حساس
- فرستاده
- سرویس
- خدمات
- اشتراک گذاری
- اشتراک
- کوتاه
- نشان
- نشان داده شده
- به سادگی
- تنها
- So
- تا حالا
- نرم افزار
- جامد
- برخی از
- ویژه
- خاص
- SQL
- تزریق SQL
- شروع
- بیانیه
- opbevare
- ذخیره شده
- رشته
- ساختار
- ارسال
- ارسال
- چنین
- حاکی از
- عرضه
- زنجیره تامین
- پشتیبانی
- مشکوک
- SVG
- نحو
- سیستم
- جدول
- گرفتن
- تیم
- مدت
- قوانین و مقررات
- نسبت به
- که
- La
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- اشیاء
- این
- تهدید
- سه
- سراسر
- زمان
- به
- بالا
- انتقال
- نقل و انتقالات
- انتقال
- شفاف
- درمان
- باعث شد
- دور زدن
- تبدیل
- دو
- تا
- در جریان روز
- URL
- استفاده کنید
- استفاده
- کاربر
- رابط کاربری
- با استفاده از
- معمولا
- نسخه
- از طريق
- بازدید
- آسیب پذیری
- بود
- مسیر..
- we
- وب
- مرورگر وب
- وب سرور
- مبتنی بر وب
- هفته
- خوب
- بود
- چی
- چه زمانی
- چه
- که
- WHO
- تمام
- چرا
- اراده
- با
- بدون
- کلمات
- مهاجرت کاری
- کار کردن
- گردش کار
- اتوماسیون گردش کار
- کارگر
- نگران
- خواهد بود
- شما
- شما
- خودت
- زفیرنت