Kullanıcı arabirimi geliştirme, devops, dosya yönetimi ve daha fazlası için yazılım ve hizmetler satan Progress Software Corporation geçen hafta müşterilerini uyardı. HAREKET Transferi ve ilgili MOVEit Bulut hakkında ürünler kritik güvenlik açığı dublajlı CVE-2023-34362.
Adından da anlaşılacağı gibi, MOVEit Transfer bir ekip, departman, şirket ve hatta tedarik zinciri boyunca dosya depolamayı ve paylaşmayı kolaylaştıran bir sistemdir.
Onun içinde kendi kelimeleri, "MOVEit, güvenli işbirliği ve hassas veriler için otomatikleştirilmiş dosya aktarımları ve komut dosyası oluşturmaya gerek kalmadan gelişmiş iş akışı otomasyonu yetenekleri sağlar."
Ne yazık ki, MOVEit'in yalnızca bir web tarayıcısı kullanarak dosyaları paylaşmayı ve yönetmeyi kolaylaştıran web tabanlı ön ucu (genellikle yanlış yönlendirilmiş veya "kayıp" dosyalara e-posta yoluyla paylaşmaktan daha az eğilimli kabul edilen bir işlem), bir SQL'e sahip olduğu ortaya çıktı. enjeksiyon güvenlik açığı
SQL enjeksiyonlarının açıklaması
Web tabanlı SQL enjeksiyon hataları, bir HTTP isteği gönderildiğinde ortaya çıkar bir web sunucusuna güvensiz bir şekilde daha sonra verilen bir sorgu komutuna dönüştürülür sunucu tarafından Hangi HTTP yanıtının oluşturulacağını bulmak için bir veritabanı araması yapmak için kendisi.
Örneğin, bir web sayfasından tetiklenen bir veritabanı araması, tarayıcınız tarafından şu şekilde istenen bir URL olarak sonuçlanabilir:
https://search.example.com/?type=file&name=duck
sorgu metni duck
daha sonra URL'deki name parametresinden çıkarılabilir, veritabanı sorgu sözdizimine dönüştürülebilir ve veritabanı sunucusuna gönderilmek üzere bir komuta eklenebilir.
Arka uç verileri bir SQL veritabanında depolanıyorsa, web sunucusu bu URL'yi aşağıda gösterilen gibi bir SQL komutuna dönüştürebilir.
The %
metne eklenen karakterler duck
arama teriminin alınan dosya adında herhangi bir yerde görünebileceği ve her iki uçtaki tek tırnak karakterlerinin bir SQL metin dizesini belirtmek için işaretçiler olarak eklendiği anlamına gelir:
'%duck%' GİBİ adı NEREDE filesdb FROM dosya adını SEÇİN
Sorgudan geri gelen veriler daha sonra güzel bir şekilde biçimlendirilebilir, HTML'ye dönüştürülebilir ve tarayıcınıza bir HTTP yanıtı olarak geri gönderilebilir, belki de size indirmeniz için tıklanabilir bir eşleşen dosya listesi verir.
Elbette, kötü niyetli bir kullanıcının aşağıdaki gibi bir URL oluşturup talep etmesi durumunda, web sunucusunun arama terimi olarak gönderilen dosya adlarına gerçekten dikkat etmesi gerekir:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
Bu arama terimi körü körüne bir sorgu dizesine dönüştürülürse, web sunucusunu kandırarak SQL sunucusuna şuna benzer bir komut göndermesini sağlayabilirsiniz:
filesdb'DEN dosya adını SEÇİN WHERE adı '%duck' GİBİ; TABLOYU DROP filesdb;--%'
Çünkü noktalı virgül (;
) SQL'de bir deyim ayırıcı görevi görür, bu tek satırlık komut aslında ardışık üç komut göndermekle aynıdır:
filesdb'DEN dosya adını SEÇİN NEREDE adı LIKE '%duck' -- ördek ile biten adlarla eşleşir DROP TABLE filesdb -- tüm veritabanını siler --%' -- yorum, hiçbir şey yapmaz
Sinsice, çünkü her gün --
SQL tarafından bir programcının yorumu olarak atılırsa, bu üç satır aşağıdakilerle aynıdır:
'%duck' DROP TABLE filesdb GİBİ isim NEREDE filesdb'DEN dosya adını SEÇİN
Dize ile biten veritabanındaki tüm dosya adlarının bir listesini geri alacaksınız. duck
(özel SQL karakteri %
bir arama teriminin başında "bu noktaya kadar her şeyi eşleştir" anlamına gelir)…
…ama bu kitaptan işe yarar bir şey alan son kişi sen olacaksın. filesdb
çünkü hileli arama teriminiz tüm veritabanını silmek için SQL komutuyla aramayı takip edecektir.
Küçük Bobby Masaları
Sistem yöneticilerinin veya kodlayıcıların hakkında şakalar yaptığını duyduysanız Küçük Bobby Masaları, bunun nedeni, bu tür bir SQL enjeksiyonunun ölümsüzleştirilmesidir. XKCD çizgi film 2007 yılında:
Çizgi film son karede sona erdiği için, veritabanı girişlerinizi gerçekten temizlemeniz gerekir; bu, arama terimini gönderen kişinin, ilgili arka uç sunucuları tarafından arama komutunun nasıl yorumlanacağını kontrol etmesine izin vermemek için büyük özen göstermeniz gerektiği anlamına gelir.
Bu tür bir hilenin neden enjeksiyon saldırısı olarak bilindiğini görebilirsiniz: Yukarıdaki örneklerde, kötü amaçlı arama terimleri, isteğin işlenmesine ek bir SQL komutunun eklenmesine neden olur.
Aslında, bu örneklerin her ikisi de, arama dizesini erken bitirmek için sinsice eklenen "yakın alıntı" karakterini izleyen iki enjekte edilmiş fommand içerir. İlk ekstra komut yıkıcıdır. DROP TABLE
talimat. İkincisi, satırın geri kalanının yok sayılmasına neden olan ve böylece kurnazca sondakileri yiyip bitiren bir "yorum komutu"dur. %'
Aksi takdirde bir sözdizimi hatasına neden olacak ve enjekte edilmesini önleyecek olan, sunucunun komut üreteci tarafından oluşturulan karakterler DROP TABLE
çalışma komutu.
İyi ve kötü haberler
Bu durumda iyi haber şu ki Progress, güvenlik açığından haberdar olduktan sonra bulut tabanlı hizmetiyle birlikte desteklenen tüm MOVEit sürümlerine yama yaptı.
Dolayısıyla, bulut sürümünü kullanıyorsanız, artık otomatik olarak güncelsiniz ve MOVEit'i kendi ağınızda çalıştırıyorsanız, umarız şimdiye kadar yama yapmışsınızdır.
Kötü haber şu ki, bu güvenlik açığı bir sıfır gündü, yani Progress bunu öğrendi çünkü Kötü Adamlar bunu nasıl yapacaklarını çözmeden önce değil, zaten istismar ediyorlardı.
Diğer bir deyişle, siz kendi sunucularınıza yama uyguladığınızda (veya Progress bulut hizmetine yama uyguladığınızda), dolandırıcılar MOVEit SQL arka uç veritabanlarınıza bir dizi olası sonuçla birlikte hileli komutlar yerleştirmiş olabilir:
- Mevcut verilerin silinmesi. Yukarıda gösterildiği gibi, bir SQL enjeksiyon saldırısının klasik örneği, büyük ölçekli veri imhasıdır.
- Mevcut verilerin sızması. Saldırganlar, SQL tablolarını bırakmak yerine kendi sorgularını ekleyebilir, böylece yalnızca dahili veritabanlarınızın yapısını öğrenmekle kalmaz, aynı zamanda en sulu kısımlarını da ayıklayabilir ve çalabilir.
- Mevcut verilerin değiştirilmesi. Daha kurnaz saldırganlar, verilerinizi çalmak yerine (veya çalmanın yanı sıra) bozmaya veya bozmaya karar verebilir.
- Kötü amaçlı yazılım da dahil olmak üzere yeni dosyaların yerleştirilmesi. Saldırganlar, sırayla harici sistem komutlarını başlatan SQL komutları enjekte edebilir ve böylece ağınız içinde rastgele uzaktan kod yürütülmesini sağlayabilir.
Bir grup saldırgan, iddia edilen Microsoft tarafından kötü şöhretli Clop fidye yazılımı çetesi olmak (veya bunlarla bağlantı kurmak) için, görünüşe göre bu güvenlik açığını şu şekilde bilinenleri yerleştirmek için kullanıyorlar: Web kabukları etkilenen sunucularda.
Web kabuklarına aşina değilseniz, okuyun sade İngilizce açıklayıcı Mart 2021'deki sıkıntılı HAFNIUM saldırıları sırasında yayınladığımız:
Web kabuğu tehlikesi
Basitçe söylemek gerekirse, web kabukları, web sunucunuza yeni dosyalar ekleyebilen saldırganların daha sonra geri gelmeleri, boş zamanlarında içeri girmeleri ve bu salt-yazma erişimini tam uzaktan kontrole aktarmaları için bir yol sağlar.
Web kabukları çalışır, çünkü birçok web sunucusu belirli dosyaları (genellikle içinde bulundukları dizine veya sahip oldukları uzantıya göre belirlenir) yürütülebilir komut dosyaları olarak ele alır. geri gönderilecek sayfayı oluşturmak için kullanılır, yanıtta kullanılacak asıl içerik olarak değil.
Örneğin, Microsoft'un IIS'si (internet bilgi sunucusu) genellikle, bir web tarayıcısı, diyelim ki, hello.html
, ardından o dosyanın ham, biçimlendirilmemiş içeriği okunacak ve tarayıcıya geri gönderilecektir.
Yani, içinde herhangi bir kötü amaçlı yazılım varsa hello.html
dosya, sunucunun kendisini değil, sunucuya göz atan kişiyi etkiler.
Ancak dosya çağrılırsa, diyelim ki, hello.aspx
(burada ASP, kendini tanımlayan ifadenin kısaltmasıdır. Aktif Sunucu Sayfaları), bu dosya, sunucunun yürütmesi için bir komut dosyası programı olarak değerlendirilir.
Bu dosyayı veri olarak okumak yerine bir program olarak çalıştırmak, yanıt olarak gönderilecek çıktıyı üretecektir.
Başka bir deyişle, içinde herhangi bir kötü amaçlı yazılım varsa hello.aspx
dosya, o zaman doğrudan sunucunun kendisini etkiler, ona göz atan kişiyi değil.
Kısacası, bir komut enjeksiyon saldırısının yan etkisi olarak bir web kabuğu dosyasını bırakmak, saldırganların daha sonra geri gelebileceği ve web kabuğunun dosya adına karşılık gelen URL'yi ziyaret ederek...
…her gün bir web tarayıcısı tarafından yapılan mütevazi bir HTTP isteğinden daha şüpheli bir şey kullanmadan, kötü amaçlı yazılımlarını doğrudan ağınızın içinde çalıştırabilirler.
Gerçekten de, bazı web kabukları yalnızca bir satırlık kötü amaçlı komut dosyasından oluşur; örneğin, "istekteki belirli bir HTTP başlığından metin al ve bunu bir sistem komutu olarak çalıştır" diyen tek bir komut.
Bu, ziyaret edilecek doğru URL'yi ve hileli komutu iletmek için kullanılacak doğru HTTP başlığını bilen herhangi bir saldırgana genel amaçlı komut ve kontrol erişimi sağlar.
Ne yapalım?
- Bir MOVEit kullanıcısıysanız, yazılımın ağınızdaki tüm örneklerine yama uygulandığından emin olun.
- Şu anda yama yapamıyorsanız, mümkün olana kadar MOVEit sunucularınıza giden web tabanlı (HTTP ve HTTP) arayüzleri kapatın. Görünüşe göre bu güvenlik açığı, SFTP gibi diğer erişim yolları aracılığıyla değil, yalnızca MOVEit'in web arayüzü aracılığıyla ortaya çıkıyor.
- Günlüklerinizi arayın yeni eklenen web sunucusu dosyaları, yeni oluşturulan kullanıcı hesapları ve beklenmedik şekilde büyük veri indirmeleri için. İlerleme, dosya adları ve aranacak yerlerin yanı sıra aranacak yerlerin bir listesine sahiptir.
- Eğer bir programcıysanız, girişlerinizi dezenfekte edin.
- Bir SQL programcısıysanız, isteği gönderen kişi tarafından kontrol edilen karakterleri içeren sorgu komutları oluşturmak yerine parametreleştirilmiş sorgular kullandı.
Şimdiye kadar araştırılan web kabuğu tabanlı saldırıların çoğunda, çoğu olmasa da, İlerleme önerir muhtemelen adında hileli bir webshell dosyası bulacaksınız. human2.aspx
, belki yeni oluşturulan kötü amaçlı dosyalarla birlikte .cmdline
eklenti.
(Sophos ürünleri, bilinen web kabuğu dosyalarını algılayacak ve engelleyecektir. Troj/WebShel-GO, çağrılsalar da human2.aspx
ya da değil.)
Ancak unutmayın ki, diğer saldırganlar yama çıkmadan önceki sıfır gün önce bunu bilselerdi, artık geride kalan kötü amaçlı yazılımları tarayarak veya arama yaparak tespit edilemeyen farklı ve belki de daha incelikli komutlar enjekte etmiş olabilirler. günlüklerde görünebilecek bilinen dosya adları için.
Genel olarak erişim günlüklerinizi gözden geçirmeyi unutmayın ve bunu kendiniz yapmak için zamanınız yoksa korkmayın. yardım isteyin!
Hakkında daha fazla bilgi alın Sophos Tarafından Yönetilen Tespit ve Müdahale:
24/7 tehdit avı, tespiti ve müdahalesi ▶
Siber güvenlik tehdidi müdahalesiyle ilgilenmek için zamanınız veya uzmanlığınız mı az? Siber güvenliğin sizi yapmanız gereken diğer şeylerden uzaklaştıracağından mı endişeleniyorsunuz?
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 1
- %15
- 2021
- a
- Yapabilmek
- Hakkımızda
- hakkında
- yukarıdaki
- kesin
- erişim
- Hesaplar
- elde
- eylemler
- gerçek
- aslında
- eklemek
- katma
- Ek
- ileri
- etkiler
- korkmuş
- Sonra
- Türkiye
- izin vermek
- boyunca
- zaten
- Ayrıca
- an
- ve
- herhangi
- bir şey
- hiçbir yerde
- görünmek
- ARE
- AS
- At
- saldırı
- saldırılar
- yazar
- Oto
- Otomatik
- otomatik olarak
- Otomasyon
- farkında
- Arka
- Backend
- background-image
- Kötü
- BE
- oldu
- Çünkü
- olmuştur
- önce
- arkasında
- altında
- körü körüne
- Engellemek
- Aynasız
- sınır
- her ikisi de
- Alt
- ihlal
- mola
- tarayıcı
- Tarama
- böcek
- fakat
- by
- denilen
- geldi
- CAN
- yetenekleri
- hangi
- dikkatli
- karikatür
- dava
- Sebeb olmak
- neden
- nedenleri
- Merkez
- belli
- zincir
- karakter
- karakterler
- klasik
- bulut
- kod
- işbirliği
- renk
- nasıl
- geliyor
- yorum Yap
- şirket
- tamamlamak
- bağlı
- ardışık
- kabul
- kurmak
- içerik
- kontrol
- kontrollü
- dönüştürmek
- dönüştürülmüş
- KURUMSAL
- uyan
- olabilir
- kurs
- kapak
- yaratmak
- çevrimiçi kurslar düzenliyorlar.
- Crooks
- Müşteriler
- Siber güvenlik
- veri
- veri ihlali
- veritabanı
- veritabanları
- karar vermek
- teslim
- bölüm
- algılandı
- Bulma
- kararlı
- gelişme
- DevOps
- farklı
- direkt olarak
- ekran
- Bozmak
- do
- yok
- Dont
- indir
- indirme
- Damla
- Damlama
- dublajlı
- her
- Erken
- kolay
- E-posta
- son
- hata
- Hatta
- hİÇ
- her gün
- örnek
- örnekler
- yürütmek
- infaz
- mevcut
- Uzmanlık
- sömürmek
- maruz
- uzatma
- dış
- ekstra
- gerçek
- tanıdık
- uzak
- Figürlü
- fileto
- dosyalar
- bulmak
- Ad
- takip et
- takip etme
- İçin
- bulundu
- ÇERÇEVE
- itibaren
- ön
- Başlangıç aşaması
- Çete
- genel
- genel amaçlı
- genellikle
- oluşturmak
- oluşturulan
- üreten
- jeneratör
- almak
- verir
- Verilmesi
- Tercih Etmenizin
- harika
- grup
- vardı
- kullanma
- Var
- duydum
- yükseklik
- umut
- duraksamak
- Ne kadar
- Nasıl Yapılır
- Ancak
- HTML
- http
- HTTPS
- avcılık
- if
- iis
- in
- Dahil olmak üzere
- rezil
- bilgi
- enjekte etmek
- girişler
- yerine
- arayüzey
- arayüzler
- iç
- Internet
- içine
- dahil
- ilgili
- Veriliş
- IT
- ONUN
- kendisi
- sadece
- sadece bir
- bilinen
- büyük
- büyük ölçekli
- Soyad
- sonra
- başlatmak
- öğrenme
- sol
- az
- sevmek
- çizgi
- hatları
- Liste
- GÖRÜNÜYOR
- arama
- yapılmış
- yapmak
- YAPAR
- Yapımı
- kötü amaçlı yazılım
- yönetmek
- yönetilen
- yönetim
- çok
- Mart
- Kenar
- uygun
- maksimum genişlik
- Mayıs..
- ortalama
- anlam
- anlamına geliyor
- Microsoft
- olabilir
- Daha
- çoğu
- isim
- adlı
- isimleri
- gerek
- ihtiyaçlar
- ağ
- yeni
- yeni
- haber
- normal
- hiçbir şey değil
- şimdi
- of
- kapalı
- on
- bir Zamanlar
- ONE
- bir tek
- or
- sipariş
- Diğer
- aksi takdirde
- bizim
- dışarı
- sonuçlar
- çıktı
- kendi
- Kanal
- parametre
- parçalar
- Patch
- Paul
- belki
- kişi
- Yerler
- Platon
- Plato Veri Zekası
- PlatoVeri
- pozisyon
- mümkün
- Mesajlar
- muhtemelen
- süreç
- Ürünler
- Programı
- Programcı
- Ilerleme
- sağlamak
- sağlar
- yayınlanan
- koymak
- sorgular
- alıntı yapmak
- menzil
- fidye
- daha doğrusu
- Çiğ
- Okumak
- Okuma
- Gerçekten mi
- ilgili
- bağıl
- uzak
- cevap
- talep
- İstenen
- isteklerinizi
- yanıt
- DİNLENME
- yorum
- krallar gibi yaşamaya
- koşmak
- koşu
- aynı
- söylemek
- diyor
- tarama
- scriptler
- Ara
- arama
- İkinci
- güvenli
- görmek
- Satıyor
- göndermek
- gönderme
- hassas
- gönderdi
- hizmet
- Hizmetler
- paylaş
- paylaşımı
- kısa
- şov
- gösterilen
- sadece
- tek
- So
- şu ana kadar
- Yazılım
- katı
- biraz
- özel
- özel
- SQL
- SQL Injection
- başlama
- Açıklama
- mağaza
- saklı
- dizi
- yapı
- sunmak
- gönderilen
- böyle
- Önerdi
- arz
- tedarik zinciri
- destekli
- şüpheli
- SVG
- sözdizimi
- sistem
- tablo
- Bizi daha iyi tanımak için
- takım
- dönem
- şartlar
- göre
- o
- The
- ve bazı Asya
- Onları
- sonra
- Orada.
- Bunlar
- onlar
- işler
- Re-Tweet
- tehdit
- üç
- boyunca
- zaman
- için
- üst
- transfer
- transferler
- geçiş
- şeffaf
- tedavi etmek
- tetiklenir
- DÖNÜŞ
- Dönük
- iki
- kadar
- aktüel
- URL
- kullanım
- Kullanılmış
- kullanıcı
- Kullanıcı Arayüzü
- kullanma
- genellikle
- versiyon
- üzerinden
- Türkiye Dental Sosyal Medya Hesaplarından bizi takip edebilirsiniz.
- güvenlik açığı
- oldu
- Yol..
- we
- ağ
- web tarayıcı
- web sunucusu
- Web tabanlı
- hafta
- İYİ
- vardı
- Ne
- ne zaman
- olup olmadığını
- hangi
- DSÖ
- bütün
- neden
- irade
- ile
- olmadan
- sözler
- İş
- egzersiz yapmak
- iş akışı
- iş akışı otomasyonu
- çalışma
- endişeli
- olur
- sen
- kendiniz
- zefirnet