Minggu lalu, Progress Software Corporation, yang menjual perangkat lunak dan layanan untuk pengembangan antarmuka pengguna, devops, manajemen file, dan lainnya, memberi tahu pelanggan tentang Pindahkan Transfer dan terkait PINDAHKAN Cloud produk tentang a kerentanan kritis dijuluki CVE-2023-34362.
Seperti namanya, MOVEit Transfer adalah sistem yang memudahkan untuk menyimpan dan berbagi file ke seluruh tim, departemen, perusahaan, atau bahkan rantai pasokan.
Dalam nya kata-kata sendiri, “MOVEit menyediakan kolaborasi yang aman dan transfer file otomatis dari data sensitif dan kemampuan otomatisasi alur kerja tingkat lanjut tanpa perlu skrip.”
Sayangnya, front-end berbasis web MOVEit, yang memudahkan untuk berbagi dan mengelola file hanya dengan menggunakan browser web (suatu proses yang secara umum dianggap tidak terlalu rentan terhadap file yang salah arah atau “hilang” daripada membagikannya melalui email), ternyata memiliki SQL kerentanan injeksi.
Injeksi SQL menjelaskan
Bug injeksi SQL berbasis web muncul saat permintaan HTTP dikirimkan ke server web diubah secara tidak aman menjadi perintah kueri yang kemudian dikeluarkan oleh server sendiri untuk melakukan pencarian basis data untuk mengetahui balasan HTTP apa yang akan dibuat.
Misalnya, pencarian basis data yang dipicu dari halaman web mungkin berakhir sebagai URL yang diminta oleh browser Anda yang terlihat seperti ini:
https://search.example.com/?type=file&name=duck
Teks kueri duck
kemudian dapat diekstraksi dari parameter nama di URL, diubah menjadi sintaks kueri basis data, dan dijahit menjadi perintah untuk dikirimkan ke server basis data.
Jika data backend disimpan dalam database SQL, server web dapat mengonversi URL tersebut menjadi perintah SQL seperti yang ditunjukkan di bawah ini.
Grafik %
karakter ditambahkan ke teks duck
berarti istilah pencarian dapat muncul di mana saja dalam nama file yang diambil, dan karakter kutipan tunggal di setiap akhir ditambahkan sebagai penanda untuk menunjukkan string teks SQL:
PILIH nama file DARI filesdb WHERE name LIKE '%duck%'
Data yang kembali dari kueri kemudian dapat diformat dengan baik, dikonversi ke HTML, dan dikirim kembali sebagai balasan HTTP ke browser Anda, mungkin memberi Anda daftar file yang cocok yang dapat diklik untuk Anda unduh.
Tentu saja, server web harus benar-benar berhati-hati dengan nama file yang dikirimkan sebagai istilah pencarian, seandainya pengguna jahat membuat dan meminta URL seperti ini:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
Jika istilah pencarian itu secara membabi buta diubah menjadi string kueri, Anda mungkin dapat mengelabui server web agar mengirimkan perintah ke server SQL seperti ini:
PILIH nama file DARI filesdb WHERE name LIKE '%duck';DROP TABLE filesdb;--%'
Karena titik koma (;
) bertindak sebagai pemisah pernyataan dalam SQL, perintah satu baris ini sebenarnya sama dengan mengirimkan tiga perintah berurutan:
SELECT filename FROM filesdb WHERE name LIKE '%duck' -- cocok dengan nama akhiran duck DROP TABLE filesdb -- hapus seluruh basis data --%' -- komentar, tidak melakukan apa pun
Diam-diam, karena setiap saat --
dibuang oleh SQL sebagai komentar pemrogram, ketiga baris ini sama dengan:
PILIH nama file DARI filesdb WHERE name LIKE '%duck' DROP TABLE filesdb
Anda akan mendapatkan kembali daftar semua nama file dalam database yang diakhiri dengan string duck
(karakter SQL khusus %
di awal istilah penelusuran berarti “cocokkan apa pun hingga saat ini”)…
…tetapi Anda akan menjadi orang terakhir yang mendapatkan sesuatu yang berguna dari filesdb
database, karena istilah pencarian nakal Anda akan menindaklanjuti pencarian dengan perintah SQL untuk menghapus seluruh database.
Meja Bobby Kecil
Jika Anda pernah mendengar syadmin atau pembuat kode membuat lelucon tentang Meja Bobby Kecil, itu karena injeksi SQL semacam ini diabadikan dalam sebuah Kartun XKCD kembali pada 2007:
Saat kartun berakhir di bingkai terakhir, Anda benar-benar perlu membersihkan input basis data Anda, artinya Anda harus sangat berhati-hati agar orang yang mengirimkan istilah pencarian tidak mengontrol bagaimana perintah pencarian ditafsirkan oleh server backend yang terlibat.
Anda dapat melihat mengapa trik semacam ini dikenal sebagai serangan injeksi: dalam contoh di atas, istilah penelusuran berbahaya menyebabkan perintah SQL tambahan disuntikkan ke dalam penanganan permintaan.
Faktanya, kedua contoh ini melibatkan dua fommands yang disuntikkan, mengikuti karakter "kutipan dekat" yang disisipkan secara diam-diam untuk menyelesaikan string pencarian lebih awal. Perintah tambahan pertama adalah destruktif DROP TABLE
petunjuk. Yang kedua adalah "perintah komentar" yang menyebabkan sisa baris diabaikan, sehingga dengan licik menghabiskan jejaknya %'
karakter yang dihasilkan oleh generator perintah server, yang jika tidak akan menyebabkan kesalahan sintaksis dan mencegah penyuntikan DROP TABLE
perintah dari bekerja.
Berita baik dan berita buruk
Kabar baiknya dalam hal ini adalah Progress menambal semua versi MOVEit yang didukungnya, bersama dengan layanan berbasis cloud-nya, setelah menyadari kerentanannya.
Jadi, jika Anda menggunakan versi cloud, Anda sekarang secara otomatis diperbarui, dan jika Anda menjalankan MOVEit di jaringan Anda sendiri, kami harap Anda sudah menambalnya sekarang.
Kabar buruknya adalah kerentanan ini adalah zero-day, artinya Progress mengetahuinya karena Orang Jahat telah mengeksploitasinya, bukan sebelum mereka menemukan cara untuk melakukannya.
Dengan kata lain, pada saat Anda menambal server Anda sendiri (atau Progress menambal layanan cloud-nya), penjahat mungkin telah menyuntikkan perintah nakal ke database backend MOVEit SQL Anda, dengan berbagai kemungkinan hasil:
- Penghapusan data yang ada. Seperti yang ditunjukkan di atas, contoh klasik dari serangan injeksi SQL adalah penghancuran data berskala besar.
- Eksfiltrasi data yang ada. Alih-alih menjatuhkan tabel SQL, penyerang dapat menyuntikkan kueri mereka sendiri, sehingga tidak hanya mempelajari struktur database internal Anda, tetapi juga mengekstraksi dan mencuri bagian mereka yang paling menarik.
- Modifikasi data yang ada. Penyerang yang lebih halus mungkin memutuskan untuk merusak atau mengacaukan data Anda alih-alih (atau juga) mencurinya.
- Implantasi file baru, termasuk malware. Penyerang dapat menyuntikkan perintah SQL yang pada gilirannya meluncurkan perintah sistem eksternal, sehingga mencapai eksekusi kode jarak jauh sewenang-wenang di dalam jaringan Anda.
Satu kelompok penyerang, diduga oleh Microsoft untuk menjadi (atau terhubung dengan) geng ransomware Clop yang terkenal, tampaknya telah menggunakan kerentanan ini untuk menanamkan apa yang dikenal sebagai kulit web pada server yang terpengaruh.
Jika Anda tidak terbiasa dengan webshell, baca kami penjelasan sederhana-bahasa Inggris yang kami publikasikan pada saat serangan HAFNIUM yang menyusahkan pada Maret 2021:
Bahaya cangkang
Sederhananya, webshells menyediakan cara bagi penyerang yang dapat menambahkan file baru ke server web Anda untuk kembali lagi nanti, menerobos masuk di waktu luang mereka, dan memasukkan akses tulis-saja itu ke kendali jarak jauh yang lengkap.
Webshell berfungsi karena banyak server web memperlakukan file tertentu (biasanya ditentukan oleh direktori tempat mereka berada, atau oleh ekstensi yang mereka miliki) sebagai skrip yang dapat dieksekusi digunakan untuk menghasilkan halaman untuk mengirim kembali, bukan sebagai konten sebenarnya untuk digunakan dalam balasan.
Misalnya, IIS Microsoft (server informasi internet) biasanya dikonfigurasi sehingga jika browser web meminta file bernama, katakanlah, hello.html
, lalu konten mentah yang tidak dimodifikasi dari file tersebut akan dibaca dan dikirim kembali ke browser.
Jadi, jika ada malware di dalamnya hello.html
file, maka itu akan mempengaruhi orang yang menjelajah ke server, bukan server itu sendiri.
Tetapi jika file tersebut dipanggil, katakanlah, hello.aspx
(di mana ASP adalah kependekan dari frasa self-descriptive Halaman Server Aktif), maka file tersebut diperlakukan sebagai program skrip untuk dijalankan oleh server.
Menjalankan file itu sebagai program, alih-alih hanya membacanya sebagai data, akan menghasilkan keluaran untuk dikirim sebagai balasan.
Dengan kata lain, jika ada malware di dalamnya hello.aspx
file, maka itu akan langsung mempengaruhi server itu sendiri, bukan orang yang menjelajah ke sana.
Singkatnya, menjatuhkan file webshell sebagai efek samping dari serangan injeksi perintah berarti penyerang dapat kembali lagi nanti, dan dengan mengunjungi URL yang sesuai dengan nama file webshell itu…
… mereka dapat menjalankan malware mereka tepat di dalam jaringan Anda, menggunakan tidak ada yang lebih mencurigakan daripada permintaan HTTP sederhana yang dibuat oleh browser web sehari-hari.
Memang, beberapa webshell hanya terdiri dari satu baris skrip berbahaya, misalnya, satu perintah yang mengatakan "dapatkan teks dari header HTTP tertentu dalam permintaan dan jalankan sebagai perintah sistem".
Ini memberikan akses perintah-dan-kontrol tujuan umum ke setiap penyerang yang mengetahui URL yang tepat untuk dikunjungi, dan header HTTP yang tepat untuk digunakan untuk mengirimkan perintah jahat.
Apa yang harus dilakukan?
- Jika Anda adalah pengguna MOVEit, pastikan semua instance perangkat lunak di jaringan Anda telah ditambal.
- Jika Anda tidak dapat menambal sekarang, matikan antarmuka berbasis web (HTTP dan HTTP) ke server MOVEit Anda sampai Anda bisa. Rupanya kerentanan ini terekspos hanya melalui antarmuka web MOVEit, bukan melalui jalur akses lain seperti SFTP.
- Cari log Anda untuk file server web yang baru ditambahkan, akun pengguna yang baru dibuat, dan unduhan data besar yang tak terduga. Kemajuan memiliki daftar tempat untuk dicari, bersama dengan nama file dan untuk dicari.
- Jika Anda seorang programmer, bersihkan input Anda.
- Jika Anda seorang programmer SQL, menggunakan kueri berparameter, daripada menghasilkan perintah kueri yang berisi karakter yang dikontrol oleh orang yang mengirimkan permintaan.
Di banyak, jika tidak sebagian besar, serangan berbasis webshell diselidiki sejauh ini, Kemajuan menyarankan bahwa Anda mungkin akan menemukan file webshell nakal bernama human2.aspx
, mungkin bersama dengan file berbahaya yang baru dibuat dengan a .cmdline
perpanjangan.
(Produk Sophos akan mendeteksi dan memblokir file webshell yang dikenal sebagai Troj/WebShel-GO, apakah mereka dipanggil human2.aspx
atau tidak.)
Ingat, bagaimanapun, bahwa jika penyerang lain mengetahui tentang zero-day ini sebelum patch keluar, mereka mungkin telah menyuntikkan perintah yang berbeda, dan mungkin lebih halus, yang sekarang tidak dapat dideteksi dengan memindai malware yang tertinggal, atau mencari untuk nama file yang dikenal yang mungkin muncul di log.
Jangan lupa untuk meninjau log akses Anda secara umum, dan jika Anda tidak punya waktu untuk melakukannya sendiri, jangan takut untuk melakukannya. meminta bantuan!
Pelajari lebih lanjut tentang Deteksi dan Respons Terkelola Sophos:
Perburuan, deteksi, dan respons ancaman 24/7 ▶
Kekurangan waktu atau keahlian untuk menangani respons ancaman keamanan siber? Khawatir bahwa keamanan siber akan mengganggu Anda dari semua hal lain yang perlu Anda lakukan?
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 15%
- 2021
- a
- Sanggup
- Tentang Kami
- tentang itu
- atas
- Mutlak
- mengakses
- Akun
- mencapai
- tindakan
- sebenarnya
- sebenarnya
- menambahkan
- menambahkan
- Tambahan
- maju
- mempengaruhi
- takut
- Setelah
- Semua
- mengizinkan
- sepanjang
- sudah
- juga
- an
- dan
- Apa pun
- apa saja
- di manapun
- muncul
- ADALAH
- AS
- At
- menyerang
- Serangan
- penulis
- mobil
- Otomatis
- secara otomatis
- Otomatisasi
- sadar
- kembali
- Backend
- background-image
- Buruk
- BE
- menjadi
- karena
- menjadi
- sebelum
- di belakang
- di bawah
- secara membabi buta
- Memblokir
- Bobby
- batas
- kedua
- Bawah
- pelanggaran
- Istirahat
- Browser
- Browsing
- bug
- tapi
- by
- bernama
- datang
- CAN
- kemampuan
- yang
- hati-hati
- gambar kartun
- kasus
- Menyebabkan
- disebabkan
- penyebab
- pusat
- tertentu
- rantai
- karakter
- karakter
- klasik
- awan
- kode
- kolaborasi
- warna
- bagaimana
- datang
- komentar
- perusahaan
- lengkap
- terhubung
- berturut-turut
- dianggap
- membangun
- Konten
- kontrol
- dikendalikan
- mengubah
- dikonversi
- PERUSAHAAN
- Sesuai
- bisa
- Tentu saja
- menutupi
- membuat
- dibuat
- Crooks
- pelanggan
- Keamanan cyber
- data
- Data pelanggaran
- Basis Data
- database
- memutuskan
- mengantarkan
- Departemen
- terdeteksi
- Deteksi
- ditentukan
- Pengembangan
- DevOps
- berbeda
- langsung
- Display
- Mengganggu
- do
- tidak
- Dont
- Download
- download
- Menjatuhkan
- Jatuhan
- dijuluki
- setiap
- Awal
- Mudah
- akhir
- kesalahan
- Bahkan
- pERNAH
- sehari-hari
- contoh
- contoh
- menjalankan
- eksekusi
- ada
- keahlian
- Mengeksploitasi
- terkena
- perpanjangan
- luar
- tambahan
- fakta
- akrab
- jauh
- pikir
- File
- File
- Menemukan
- Pertama
- mengikuti
- berikut
- Untuk
- ditemukan
- FRAME
- dari
- depan
- Ujung depan
- Gang
- Umum
- tujuan umum
- umumnya
- menghasilkan
- dihasilkan
- menghasilkan
- generator
- mendapatkan
- memberikan
- Pemberian
- baik
- besar
- Kelompok
- memiliki
- Penanganan
- Memiliki
- mendengar
- tinggi
- berharap
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTML
- http
- HTTPS
- Pemburuan
- if
- ini
- in
- Termasuk
- hina
- informasi
- menyuntikkan
- input
- sebagai gantinya
- Antarmuka
- interface
- intern
- Internet
- ke
- melibatkan
- terlibat
- Ditempatkan
- IT
- NYA
- Diri
- hanya
- hanya satu
- dikenal
- besar
- besar-besaran
- Terakhir
- kemudian
- jalankan
- pengetahuan
- meninggalkan
- kurang
- 'like'
- baris
- baris
- Daftar
- TERLIHAT
- lookup
- terbuat
- membuat
- MEMBUAT
- Membuat
- malware
- mengelola
- berhasil
- pengelolaan
- banyak
- March
- Margin
- sesuai
- max-width
- Mungkin..
- berarti
- makna
- cara
- Microsoft
- mungkin
- lebih
- paling
- nama
- Bernama
- nama
- Perlu
- kebutuhan
- jaringan
- New
- baru saja
- berita
- normal
- tidak ada
- sekarang
- of
- lepas
- on
- sekali
- ONE
- hanya
- or
- urutan
- Lainnya
- jika tidak
- kami
- di luar
- hasil
- keluaran
- sendiri
- halaman
- parameter
- bagian
- tambalan
- paul
- mungkin
- orang
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- posisi
- mungkin
- Posts
- mungkin
- proses
- Produk
- program
- Programmer
- Kemajuan
- memberikan
- menyediakan
- diterbitkan
- menempatkan
- query
- mengutip
- jarak
- ransomware
- agak
- Mentah
- Baca
- Bacaan
- benar-benar
- terkait
- relatif
- terpencil
- balasan
- permintaan
- diminta
- permintaan
- tanggapan
- ISTIRAHAT
- ulasan
- benar
- Run
- berjalan
- sama
- mengatakan
- mengatakan
- pemindaian
- script
- Pencarian
- mencari
- Kedua
- aman
- melihat
- Menjual
- mengirim
- mengirim
- peka
- mengirim
- layanan
- Layanan
- Share
- berbagi
- Pendek
- Menunjukkan
- ditunjukkan
- hanya
- tunggal
- So
- sejauh ini
- Perangkat lunak
- padat
- beberapa
- khusus
- tertentu
- SQL
- SQL Injection
- awal
- Pernyataan
- menyimpan
- tersimpan
- Tali
- struktur
- menyerahkan
- disampaikan
- seperti itu
- Menyarankan
- menyediakan
- supply chain
- Didukung
- mencurigakan
- SVG
- sintaksis
- sistem
- tabel
- Mengambil
- tim
- istilah
- istilah
- dari
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- Ini
- mereka
- hal
- ini
- ancaman
- tiga
- di seluruh
- waktu
- untuk
- puncak
- transfer
- transfer
- transisi
- jelas
- mengobati
- dipicu
- MENGHIDUPKAN
- Berbalik
- dua
- sampai
- mutakhir
- URL
- menggunakan
- bekas
- Pengguna
- User Interface
- menggunakan
- biasanya
- versi
- melalui
- Mengunjungi
- kerentanan
- adalah
- Cara..
- we
- jaringan
- web browser
- web server
- berbasis web
- minggu
- BAIK
- adalah
- Apa
- ketika
- apakah
- yang
- SIAPA
- seluruh
- mengapa
- akan
- dengan
- tanpa
- kata
- Kerja
- bekerja
- alur kerja
- otomatisasi alur kerja
- kerja
- cemas
- akan
- kamu
- Anda
- diri
- zephyrnet.dll