Tuần trước, Progress Software Corporation, công ty bán phần mềm và dịch vụ để phát triển giao diện người dùng, devops, quản lý tệp, v.v., đã cảnh báo khách hàng về CHUYỂN CHUYỂN và liên quan MOVEit đám mây sản phẩm về một lỗ hổng nghiêm trọng được mệnh danh là CVE-2023-34362.
Đúng như tên gọi, MOVEit Transfer là một hệ thống giúp dễ dàng lưu trữ và chia sẻ tệp trong một nhóm, một bộ phận, một công ty hoặc thậm chí là một chuỗi cung ứng.
Trong của nó lời nói riêng, “MOVEit cung cấp khả năng cộng tác an toàn và truyền tệp tự động dữ liệu nhạy cảm cũng như khả năng tự động hóa quy trình công việc nâng cao mà không cần viết kịch bản.”
Thật không may, giao diện người dùng dựa trên web của MOVEit giúp dễ dàng chia sẻ và quản lý tệp chỉ bằng một trình duyệt web (một quy trình thường được coi là ít bị chuyển hướng sai hoặc tệp “bị mất” hơn là chia sẻ chúng qua email), hóa ra lại có một SQL lỗ hổng tiêm.
SQL injection đã giải thích
Lỗi tiêm SQL dựa trên web phát sinh khi một yêu cầu HTTP được gửi đến một máy chủ web được chuyển đổi không an toàn thành lệnh truy vấn sau đó được phát hành bởi máy chủ để thực hiện tra cứu cơ sở dữ liệu nhằm tìm ra cấu trúc phản hồi HTTP nào.
Ví dụ: một tìm kiếm cơ sở dữ liệu được kích hoạt từ một trang web có thể kết thúc dưới dạng một URL được trình duyệt của bạn yêu cầu giống như sau:
https://search.example.com/?type=file&name=duck
Văn bản truy vấn duck
sau đó có thể được trích xuất từ tham số tên trong URL, được chuyển đổi thành cú pháp truy vấn cơ sở dữ liệu và được ghép thành một lệnh để gửi tới máy chủ cơ sở dữ liệu.
Nếu dữ liệu phụ trợ được lưu trữ trong cơ sở dữ liệu SQL, máy chủ web có thể chuyển đổi URL đó thành lệnh SQL giống như lệnh được hiển thị bên dưới.
Sản phẩm %
ký tự được thêm vào văn bản duck
có nghĩa là cụm từ tìm kiếm có thể xuất hiện ở bất kỳ đâu trong tên tệp đã truy xuất và các ký tự trích dẫn đơn ở mỗi đầu được thêm vào làm điểm đánh dấu để biểu thị chuỗi văn bản SQL:
CHỌN tên tệp TỪ filesdb WHERE tên THÍCH '%duck%'
Sau đó, dữ liệu quay lại từ truy vấn có thể được định dạng độc đáo, chuyển đổi thành HTML và gửi lại dưới dạng phản hồi HTTP cho trình duyệt của bạn, có thể cung cấp cho bạn danh sách các tệp phù hợp có thể nhấp để bạn tải xuống.
Tất nhiên, máy chủ web cần thực sự cẩn thận với các tên tệp được gửi dưới dạng cụm từ tìm kiếm, trong trường hợp người dùng độc hại tạo và yêu cầu một URL như thế này:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
Nếu thuật ngữ tìm kiếm đó được chuyển đổi một cách mù quáng thành một chuỗi truy vấn, bạn có thể lừa máy chủ web gửi cho máy chủ SQL một lệnh như sau:
CHỌN tên tệp TỪ filesdb WHERE name LIKE '%duck';DROP TABLE filesdb;--%'
Vì dấu chấm phẩy (;
) hoạt động như một dấu tách câu lệnh trong SQL, lệnh một dòng này thực sự giống như việc gửi ba lệnh liên tiếp:
CHỌN tên tệp TỪ filesdb WHERE name LIKE '%duck' -- khớp với tên kết thúc duck DROP TABLE filesdb -- xóa toàn bộ cơ sở dữ liệu --%' -- nhận xét, không làm gì
Lén lút, vì cứ sau --
bị SQL loại bỏ dưới dạng nhận xét của lập trình viên, ba dòng này giống như:
CHỌN tên tệp TỪ filesdb WHERE name LIKE '%duck' DROP TABLE filesdb
Bạn sẽ nhận được danh sách tất cả các tên tệp trong cơ sở dữ liệu kết thúc bằng chuỗi duck
(ký tự SQL đặc biệt %
khi bắt đầu cụm từ tìm kiếm có nghĩa là “khớp mọi thứ cho đến thời điểm này”)…
…nhưng bạn sẽ là người cuối cùng nhận được bất cứ điều gì hữu ích từ filesdb
cơ sở dữ liệu, bởi vì thuật ngữ tìm kiếm giả mạo của bạn sẽ theo dõi tìm kiếm bằng lệnh SQL để xóa toàn bộ cơ sở dữ liệu.
Bàn Little Bobby
Nếu bạn đã từng nghe các quản trị viên hoặc lập trình viên pha trò về Bàn Little Bobby, đó là bởi vì loại SQL injection này đã được bất tử hóa trong một Phim hoạt hình XKCD trở lại trong 2007:
Khi phim hoạt hình kết thúc ở khung hình cuối cùng, bạn thực sự cần phải làm sạch đầu vào cơ sở dữ liệu của mình, nghĩa là bạn cần hết sức cẩn thận để không cho phép người gửi cụm từ tìm kiếm kiểm soát cách các máy chủ phụ trợ liên quan diễn giải lệnh tìm kiếm.
Bạn có thể hiểu tại sao loại thủ thuật này được gọi là tấn công tiêm nhiễm: trong các ví dụ trên, các cụm từ tìm kiếm độc hại khiến một lệnh SQL bổ sung được đưa vào để xử lý yêu cầu.
Trên thực tế, cả hai ví dụ này đều liên quan đến hai lệnh được thêm vào, theo sau ký tự “trích dẫn đóng” được chèn lén lút để kết thúc sớm chuỗi tìm kiếm. Lệnh bổ sung đầu tiên là phá hoại DROP TABLE
chỉ dẫn. Thứ hai là một “lệnh bình luận” làm cho phần còn lại của dòng bị bỏ qua, do đó khéo léo ăn hết phần cuối %'
các ký tự được tạo bởi trình tạo lệnh của máy chủ, nếu không sẽ gây ra lỗi cú pháp và ngăn cản việc chèn DROP TABLE
lệnh khỏi làm việc.
Tin tốt và tin xấu
Tin tốt trong trường hợp này là Progress đã vá tất cả các phiên bản MOVEit được hỗ trợ, cùng với dịch vụ dựa trên đám mây, sau khi phát hiện ra lỗ hổng.
Vì vậy, nếu bạn sử dụng phiên bản đám mây, giờ đây bạn sẽ tự động cập nhật và nếu bạn đang chạy MOVEit trên mạng của mình, chúng tôi hy vọng bạn đã vá lỗi ngay bây giờ.
Tin xấu là lỗ hổng này là zero-day, có nghĩa là Progress đã phát hiện ra nó vì Kẻ xấu đã khai thác nó, thay vì trước khi họ tìm ra cách làm như vậy.
Nói cách khác, vào thời điểm bạn vá các máy chủ của chính mình (hoặc Progress đã vá dịch vụ đám mây của nó), kẻ gian có thể đã đưa các lệnh giả mạo vào cơ sở dữ liệu phụ trợ MOVEit SQL của bạn, với một loạt kết quả có thể xảy ra:
- Xóa dữ liệu hiện có. Như đã trình bày ở trên, ví dụ kinh điển về tấn công SQL injection là phá hủy dữ liệu quy mô lớn.
- Lọc dữ liệu hiện có. Thay vì loại bỏ các bảng SQL, những kẻ tấn công có thể đưa vào các truy vấn của riêng chúng, do đó không chỉ học được cấu trúc cơ sở dữ liệu nội bộ của bạn mà còn trích xuất và đánh cắp các phần hấp dẫn nhất của chúng.
- Sửa đổi dữ liệu hiện có. Những kẻ tấn công tinh vi hơn có thể quyết định làm hỏng hoặc phá vỡ dữ liệu của bạn thay vì (hoặc cũng như) đánh cắp dữ liệu đó.
- Cấy các tệp mới, bao gồm cả phần mềm độc hại. Những kẻ tấn công có thể chèn các lệnh SQL để lần lượt khởi chạy các lệnh hệ thống bên ngoài, do đó thực thi mã từ xa tùy ý bên trong mạng của bạn.
Một nhóm những kẻ tấn công, cáo buộc bởi Microsoft là (hoặc được kết nối với) băng nhóm ransomware Clop khét tiếng, dường như đã sử dụng lỗ hổng này để cấy cái được gọi là trang web trên các máy chủ bị ảnh hưởng.
Nếu bạn không quen thuộc với webshells, hãy đọc của chúng tôi người giải thích bằng tiếng Anh mà chúng tôi đã xuất bản vào thời điểm xảy ra các cuộc tấn công HAFNIUM rắc rối vào tháng 2021 năm XNUMX:
webshell nguy hiểm
Nói một cách đơn giản, webshells cung cấp một cách để những kẻ tấn công có thể thêm các tệp mới vào máy chủ web của bạn quay lại sau, đột nhập khi rảnh rỗi và ghép quyền truy cập chỉ ghi đó vào điều khiển từ xa hoàn chỉnh.
Webshells hoạt động vì nhiều máy chủ web coi một số tệp nhất định (thường được xác định bởi thư mục chứa chúng hoặc bởi phần mở rộng mà chúng có) dưới dạng tập lệnh thực thi được sử dụng để tạo trang để gửi lại, chứ không phải là nội dung thực tế để sử dụng trong câu trả lời.
Ví dụ: IIS của Microsoft (máy chủ thông tin internet) thường được định cấu hình để nếu trình duyệt web yêu cầu một tệp có tên, chẳng hạn như hello.html
, thì nội dung thô, chưa chỉnh sửa của tệp đó sẽ được đọc và gửi lại cho trình duyệt.
Vì vậy, nếu có bất kỳ phần mềm độc hại nào trong đó hello.html
thì nó sẽ ảnh hưởng đến người duyệt đến máy chủ chứ không phải chính máy chủ.
Nhưng nếu tệp được gọi, giả sử, hello.aspx
(trong đó ASP là viết tắt của cụm từ tự mô tả Trang máy chủ đang hoạt động) thì file đó coi như chương trình script để server thực thi.
Chạy tệp đó dưới dạng một chương trình, thay vì chỉ đọc nó dưới dạng dữ liệu, sẽ tạo ra đầu ra để gửi trả lời.
Nói cách khác, nếu có bất kỳ phần mềm độc hại nào trong đó hello.aspx
thì nó sẽ ảnh hưởng trực tiếp đến chính máy chủ chứ không phải người duyệt đến nó.
Nói tóm lại, việc loại bỏ một tệp webshell dưới dạng tác dụng phụ của một cuộc tấn công chèn lệnh có nghĩa là những kẻ tấn công có thể quay lại sau và bằng cách truy cập URL tương ứng với tên tệp của webshell đó…
…chúng có thể chạy phần mềm độc hại ngay bên trong mạng của bạn, không sử dụng gì đáng ngờ hơn một yêu cầu HTTP khiêm tốn được thực hiện bởi một trình duyệt web hàng ngày.
Thật vậy, một số vỏ web chỉ bao gồm một dòng tập lệnh độc hại, chẳng hạn như một lệnh duy nhất có nội dung “lấy văn bản từ một tiêu đề HTTP cụ thể trong yêu cầu và chạy nó dưới dạng một lệnh hệ thống”.
Điều này cung cấp quyền truy cập ra lệnh và kiểm soát có mục đích chung cho bất kỳ kẻ tấn công nào biết đúng URL để truy cập và tiêu đề HTTP phù hợp để sử dụng để gửi lệnh lừa đảo.
Phải làm gì?
- Nếu bạn là người dùng MOVEit, đảm bảo rằng tất cả các phiên bản của phần mềm trên mạng của bạn đều được vá.
- Nếu bạn không thể vá lỗi ngay bây giờ, tắt giao diện dựa trên web (HTTP và HTTP) cho máy chủ MOVEit của bạn cho đến khi bạn có thể. Rõ ràng lỗ hổng này chỉ lộ ra qua giao diện web của MOVEit, không lộ qua các đường dẫn truy cập khác như SFTP.
- Tìm kiếm nhật ký của bạn đối với các tệp máy chủ web mới được thêm vào, tài khoản người dùng mới được tạo và tải xuống dữ liệu lớn bất ngờ. Tiến độ có một danh sách các địa điểm để tìm kiếm, cùng với tên tệp và để tìm kiếm.
- Nếu bạn là một lập trình viên, vệ sinh đầu vào của bạn.
- Nếu bạn là một lập trình viên SQL, đã sử dụng các truy vấn được tham số hóa, thay vì tạo các lệnh truy vấn chứa các ký tự do người gửi yêu cầu kiểm soát.
Trong nhiều cuộc tấn công dựa trên webshell đã được điều tra cho đến nay, Tiến trình gợi ý rằng bạn có thể sẽ tìm thấy một tệp webshell lừa đảo có tên human2.aspx
, có lẽ cùng với các tệp độc hại mới được tạo với một .cmdline
gia hạn.
(Các sản phẩm của Sophos sẽ phát hiện và chặn các tệp webshell đã biết dưới dạng Troj/WebShel-GO, cho dù họ được gọi human2.aspx
hay không.)
Tuy nhiên, hãy nhớ rằng nếu những kẻ tấn công khác biết về zero-day này trước khi bản vá ra mắt, chúng có thể đã đưa vào các lệnh khác, và có lẽ tinh vi hơn, mà hiện tại không thể phát hiện được bằng cách quét tìm phần mềm độc hại bị bỏ lại hoặc tìm kiếm. cho các tên tệp đã biết có thể hiển thị trong nhật ký.
Đừng quên xem lại nhật ký truy cập của bạn nói chung và nếu bạn không có thời gian để tự làm điều đó, đừng ngại yêu cầu giúp đỡ!
Tìm hiểu thêm về Phản hồi và phát hiện được quản lý của Sophos:
Tìm kiếm, phát hiện và phản ứng mối đe dọa 24/7 ▶
Thiếu thời gian hoặc chuyên môn để xử lý các mối đe dọa an ninh mạng? Bạn lo lắng rằng an ninh mạng sẽ khiến bạn mất tập trung khỏi tất cả những việc khác mà bạn cần làm?
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 15%
- 2021
- a
- Có khả năng
- Giới thiệu
- về nó
- ở trên
- Tuyệt đối
- truy cập
- Trợ Lý Giám Đốc
- đạt được
- hành vi
- thực tế
- thực sự
- thêm vào
- thêm
- thêm vào
- tiên tiến
- ảnh hưởng đến
- sợ
- Sau
- Tất cả
- cho phép
- dọc theo
- Đã
- Ngoài ra
- an
- và
- bất kì
- bất cứ điều gì
- bất cứ nơi nào
- xuất hiện
- LÀ
- AS
- At
- tấn công
- Các cuộc tấn công
- tác giả
- tự động
- Tự động
- tự động
- Tự động hóa
- nhận thức
- trở lại
- Backend
- background-image
- Bad
- BE
- đã trở thành
- bởi vì
- được
- trước
- sau
- phía dưới
- mù quáng
- Chặn
- Bobby
- biên giới
- cả hai
- đáy
- vi phạm
- Nghỉ giải lao
- trình duyệt
- Duyệt
- lỗi
- nhưng
- by
- gọi là
- đến
- CAN
- khả năng
- mà
- cẩn thận
- hoạt hình
- trường hợp
- Nguyên nhân
- gây ra
- nguyên nhân
- Trung tâm
- nhất định
- chuỗi
- tính cách
- nhân vật
- cổ điển
- đám mây
- mã
- hợp tác
- màu sắc
- Đến
- đến
- bình luận
- công ty
- hoàn thành
- kết nối
- liên tiếp
- xem xét
- xây dựng
- nội dung
- điều khiển
- kiểm soát
- chuyển đổi
- chuyển đổi
- TẬP ĐOÀN
- Tương ứng
- có thể
- khóa học mơ ước
- che
- tạo
- tạo ra
- Crooks
- khách hàng
- An ninh mạng
- dữ liệu
- vi phạm dữ liệu
- Cơ sở dữ liệu
- cơ sở dữ liệu
- quyết định
- phân phối
- bộ
- phát hiện
- Phát hiện
- xác định
- Phát triển
- DevOps
- khác nhau
- trực tiếp
- Giao diện
- Làm gián đoạn
- do
- làm
- dont
- tải về
- Tải xuống
- Rơi
- Rơi
- được mệnh danh là
- mỗi
- Đầu
- dễ dàng
- cuối
- lôi
- Ngay cả
- BAO GIỜ
- hàng ngày
- ví dụ
- ví dụ
- thi hành
- thực hiện
- hiện tại
- chuyên môn
- Khai thác
- tiếp xúc
- mở rộng
- ngoài
- thêm
- thực tế
- quen
- xa
- hình
- Tập tin
- Các tập tin
- Tìm kiếm
- Tên
- theo
- tiếp theo
- Trong
- tìm thấy
- FRAME
- từ
- trước mặt
- Mặt trận cuối cùng
- Đám
- Tổng Quát
- mục đích chung
- nói chung
- tạo ra
- tạo ra
- tạo ra
- máy phát điện
- được
- cho
- Cho
- tốt
- tuyệt vời
- Nhóm
- có
- Xử lý
- Có
- nghe
- cao
- mong
- di chuột
- Độ đáng tin của
- Hướng dẫn
- Tuy nhiên
- HTML
- http
- HTTPS
- Săn bắn
- if
- là
- in
- Bao gồm
- ô nhục
- thông tin
- chích
- đầu vào
- thay vì
- Giao thức
- giao diện
- nội bộ
- Internet
- trong
- liên quan
- tham gia
- Ban hành
- IT
- ITS
- chính nó
- chỉ
- chỉ một
- nổi tiếng
- lớn
- quy mô lớn
- Họ
- một lát sau
- phóng
- học tập
- trái
- ít
- Lượt thích
- Dòng
- dòng
- Danh sách
- NHÌN
- tra cứu
- thực hiện
- làm cho
- LÀM CHO
- Làm
- phần mềm độc hại
- quản lý
- quản lý
- quản lý
- nhiều
- Tháng Ba
- Lợi nhuận
- phù hợp
- max-width
- Có thể..
- nghĩa là
- có nghĩa là
- có nghĩa
- microsoft
- Might
- chi tiết
- hầu hết
- tên
- Được đặt theo tên
- tên
- Cần
- nhu cầu
- mạng
- Mới
- mới
- tin tức
- bình thường
- không
- tại
- of
- off
- on
- hàng loạt
- ONE
- có thể
- or
- gọi món
- Nền tảng khác
- nếu không thì
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- kết quả
- đầu ra
- riêng
- trang
- tham số
- các bộ phận
- Vá
- paul
- có lẽ
- người
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- vị trí
- có thể
- bài viết
- có lẽ
- quá trình
- Sản phẩm
- chương trình
- Lập trình viên
- Tiến độ
- cho
- cung cấp
- công bố
- đặt
- truy vấn
- trích dẫn
- phạm vi
- ransomware
- hơn
- Nguyên
- Đọc
- Reading
- có thật không
- liên quan
- tương đối
- xa
- trả lời
- yêu cầu
- yêu cầu
- yêu cầu
- phản ứng
- REST của
- xem xét
- ngay
- chạy
- chạy
- tương tự
- nói
- nói
- quét
- kịch bản
- Tìm kiếm
- tìm kiếm
- Thứ hai
- an toàn
- xem
- Bán
- gửi
- gửi
- nhạy cảm
- gởi
- dịch vụ
- DỊCH VỤ
- Chia sẻ
- chia sẻ
- ngắn
- hiển thị
- thể hiện
- đơn giản
- duy nhất
- So
- cho đến nay
- Phần mềm
- rắn
- một số
- đặc biệt
- riêng
- SQL
- SQL Injection
- Bắt đầu
- Tuyên bố
- hàng
- lưu trữ
- Chuỗi
- cấu trúc
- trình
- trình
- như vậy
- Gợi ý
- cung cấp
- chuỗi cung ứng
- Hỗ trợ
- đáng ngờ
- SVG
- cú pháp
- hệ thống
- bàn
- Hãy
- nhóm
- kỳ hạn
- về
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều
- điều này
- mối đe dọa
- số ba
- khắp
- thời gian
- đến
- hàng đầu
- chuyển
- chuyển
- quá trình chuyển đổi
- minh bạch
- điều trị
- được kích hoạt
- XOAY
- Quay
- hai
- cho đến khi
- up-to-date
- URL
- sử dụng
- đã sử dụng
- người sử dang
- Giao diện người dùng
- sử dụng
- thường
- phiên bản
- thông qua
- Truy cập
- dễ bị tổn thương
- là
- Đường..
- we
- web
- trình duyệt web
- máy chủ web
- Dựa trên web
- tuần
- TỐT
- là
- Điều gì
- khi nào
- liệu
- cái nào
- CHÚNG TÔI LÀ
- toàn bộ
- tại sao
- sẽ
- với
- không có
- từ
- Công việc
- tập thể dục
- quy trình làm việc
- quy trình làm việc tự động hóa
- đang làm việc
- lo lắng
- sẽ
- bạn
- trên màn hình
- mình
- zephyrnet