上周,销售用户界面开发、devops、文件管理等软件和服务的 Progress Software Corporation 提醒客户其 MOVEit 转移 及相关 移动云 产品关于 严重的漏洞 配音 CVE-2023-34362.
顾名思义,MOVEit Transfer 是一个可以在团队、部门、公司甚至供应链中轻松存储和共享文件的系统。
在其 自己的话, “MOVEit 无需编写脚本即可提供安全协作和敏感数据的自动文件传输以及高级工作流自动化功能。”
不幸的是,MOVEit 的基于 Web 的前端使得仅使用 Web 浏览器共享和管理文件变得容易(通常认为该过程比通过电子邮件共享文件更不容易被误导或“丢失”文件),结果却有一个 SQL注入漏洞。
SQL注入解释
提交 HTTP 请求时会出现基于 Web 的 SQL 注入错误 到网络服务器 被不安全地转换为随后发出的查询命令 由服务器 本身进行数据库查找,以找出要构造的 HTTP 回复。
例如,从网页触发的数据库搜索可能最终会成为浏览器请求的 URL,如下所示:
https://search.example.com/?type=file&name=duck
查询文本 duck
然后可以从URL中的name参数中提取出来,转换成数据库查询语法,拼接成命令提交给数据库服务器。
如果后端数据存储在 SQL 数据库中,Web 服务器可能会将该 URL 转换为如下所示的 SQL 命令。
%
添加到文本中的字符 duck
意味着搜索项可以出现在检索到的文件名中的任何位置,并且在每一端添加单引号字符作为标记以表示 SQL 文本字符串:
从 filesdb 中选择文件名 WHERE name LIKE '%duck%'
从查询返回的数据可以很好地格式化,转换为 HTML,并作为 HTTP 回复发送回您的浏览器,也许会为您提供一个可点击的匹配文件列表供您下载。
当然,Web 服务器需要非常小心地处理作为搜索词提交的文件名,以防恶意用户创建和请求这样的 URL:
https://search.example.com/?type=file&name=duck';DROP table filesdb;--
如果该搜索词被盲目地转换为查询字符串,您可能能够诱使 Web 服务器向 SQL 服务器发送如下命令:
SELECT filename FROM filesdb WHERE name LIKE '%duck';DROP TABLE filesdb;--%'
因为一个分号 (;
) 在SQL中作为语句分隔符,这个单行命令实际上和连续发送三个命令是一样的:
SELECT filename FROM filesdb WHERE name LIKE '%duck' -- 匹配以 duck 结尾的名称 DROP TABLE filesdb -- 删除整个数据库 --%' -- 注释,什么都不做
偷偷摸摸地,因为以后每 --
作为程序员的注释被SQL丢弃,这三行是一样的:
从 filesdb 中选择文件名 WHERE name LIKE '%duck' DROP TABLE filesdb
您将返回数据库中以字符串结尾的所有文件名的列表 duck
(特殊的 SQL 字符 %
在搜索词的开头表示“匹配到此为止的任何内容”)...
......但你将是最后一个从中得到任何有用信息的人 filesdb
数据库,因为您的流氓搜索词将使用 SQL 命令跟进搜索以删除整个数据库。
小鲍比桌
如果您曾经听过系统管理员或编码人员开玩笑 小鲍比桌,那是因为这种 SQL 注入在 XKCD卡通 回到2007:
正如动画片在最后一帧中结束的那样,您确实需要清理数据库输入,这意味着您需要非常小心,不要让提交搜索词的人控制所涉及的后端服务器如何解释搜索命令。
您可以看到为什么这种技巧被称为注入攻击:在上面的示例中,恶意搜索词导致将额外的 SQL 命令注入到请求处理中。
事实上,这两个示例都涉及两个注入的命令,跟随偷偷插入的“闭引号”字符以尽早完成搜索字符串。 第一个额外的命令是破坏性的 DROP TABLE
操作说明。 第二个是“注释命令”,它导致该行的其余部分被忽略,从而巧妙地吃掉了尾随 %'
服务器的命令生成器生成的字符,否则会导致语法错误并阻止注入 DROP TABLE
工作的命令。
好消息和坏消息
在这种情况下的好消息是,Progress 在意识到该漏洞后修补了所有受支持的 MOVEit 版本及其基于云的服务。
因此,如果您使用云版本,您现在会自动保持最新状态,如果您在自己的网络上运行 MOVEit,我们希望您现在已经打好了补丁。
坏消息是这个漏洞是一个零日漏洞,这意味着 Progress 发现它是因为坏人已经在利用它,而不是在他们弄清楚如何这样做之前。
换句话说,当您修补自己的服务器(或 Progress 修补其云服务)时,骗子可能已经将流氓命令注入您的 MOVEit SQL 后端数据库,并产生一系列可能的结果:
- 删除现有数据。 如上所示,SQL注入攻击的典型例子是大规模数据破坏。
- 现有数据的泄露。 攻击者可以注入他们自己的查询,而不是删除 SQL 表,这样不仅可以了解您的内部数据库的结构,还可以提取和窃取其中最有价值的部分。
- 现有数据的修改。 更狡猾的攻击者可能会决定破坏或破坏您的数据,而不是(或同时)窃取数据。
- 植入新文件,包括恶意软件。 攻击者可以注入 SQL 命令,进而启动外部系统命令,从而在您的网络内实现任意远程代码执行。
一组攻击者, 所谓的 由 Microsoft 成为(或与)臭名昭著的 Clop 勒索软件团伙,显然一直在利用此漏洞植入所谓的 网页壳 在受影响的服务器上。
如果您不熟悉 webshell,请阅读我们的 简单的英语解释器 我们在 2021 年 XNUMX 月发生麻烦的 HAFNIUM 攻击时发布的:
Webshell 危险
简而言之,webshell 为攻击者提供了一种方法,他们可以将新文件添加到您的 web 服务器,以便稍后返回,在他们有空时闯入,并利用只写访问权限实现完全远程控制。
Webshell 之所以起作用,是因为许多 Web 服务器将某些文件(通常由它们所在的目录或它们的扩展名决定)视为可执行脚本 用于生成要发回的页面,而不是在回复中使用的实际内容。
例如,Microsoft 的 IIS(互联网信息服务器)通常被配置为如果网络浏览器请求一个名为的文件,比方说, hello.html
,然后该文件的原始、未修改的内容将被读入并发送回浏览器。
所以,如果里面有任何恶意软件 hello.html
文件,那么它会影响浏览服务器的人,而不是服务器本身。
但是如果文件被调用,比如说, hello.aspx
(其中 ASP 是自我描述短语的缩写 Active Server Pages), 然后该文件被视为服务器执行的脚本程序。
将该文件作为程序运行,而不是简单地将其作为数据读入,将生成要作为回复发送的输出。
换句话说,如果其中有任何恶意软件 hello.aspx
文件,那么它将直接影响服务器本身,而不是浏览它的人。
简而言之,作为命令注入攻击的副作用,丢弃一个 webshell 文件意味着攻击者可以稍后回来,并通过访问与该 webshell 文件名对应的 URL……
…他们可以在您的网络中运行他们的恶意软件,使用的只是日常 Web 浏览器发出的朴素 HTTP 请求。
事实上,一些 webshells 只包含一行恶意脚本,例如,一个命令说“从请求中的特定 HTTP 标头获取文本并将其作为系统命令运行”。
这为知道要访问的正确 URL 以及用于传递流氓命令的正确 HTTP 标头的任何攻击者提供了通用命令和控制访问权限。
怎么办呢?
- 如果您是 MOVEit 用户, 确保网络上的所有软件实例都已修补。
- 如果你现在不能打补丁, 关闭您的 MOVEit 服务器的基于 Web 的(HTTP 和 HTTP)接口,直到可以为止。 显然,此漏洞仅通过 MOVEit 的 Web 界面公开,而不通过 SFTP 等其他访问路径公开。
- 搜索您的日志 对于新添加的 Web 服务器文件、新创建的用户帐户以及意外的大数据下载。 Progress 有一个要搜索的位置列表,以及要搜索的文件名。
- 如果你是程序员, 清理你的输入。
- 如果你是一名 SQL 程序员, 使用参数化查询,而不是生成包含由发送请求的人控制的字符的查询命令。
到目前为止,在调查的许多(如果不是大多数)基于 webshell 的攻击中, 进展表明 你可能会发现一个名为 human2.aspx
,可能连同新创建的带有 .cmdline
延期。
(Sophos 产品将检测并阻止已知的 webshell 文件作为 木马/WebShel-GO, 他们是否被称为 human2.aspx
或不。)
但是请记住,如果其他攻击者在补丁发布之前就知道这个零日漏洞,他们可能已经注入了不同的、也许更微妙的命令,现在无法通过扫描遗留的恶意软件或搜索来检测这些命令对于可能出现在日志中的已知文件名。
不要忘记检查您的一般访问日志,如果您没有时间自己做,请不要害怕 求人!
进一步了解 Sophos 托管检测和响应:
24/7 威胁追踪、检测和响应 ▶
缺乏时间或专业知识来处理网络安全威胁响应? 担心网络安全最终会分散您对所有其他需要做的事情的注意力?
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/06/05/moveit-zero-day-exploit-used-by-data-breach-gangs-the-how-the-why-and-what-to-do/
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 15%
- 2021
- a
- Able
- 关于
- 关于它
- 以上
- 绝对
- ACCESS
- 账户
- 实现
- 行为
- 实际
- 通
- 加
- 添加
- 额外
- 高级
- 影响
- 怕
- 后
- 所有类型
- 让
- 沿
- 已经
- 还
- an
- 和
- 任何
- 什么
- 分析数据
- 出现
- 保健
- AS
- At
- 攻击
- 攻击
- 作者
- 汽车
- 自动化
- 自动
- 自动化
- 察觉
- 背部
- 后端
- 背景图像
- 坏
- BE
- 成为
- 因为
- 很
- before
- 背后
- 如下。
- 盲目
- 阻止
- 鲍比
- 边界
- 都
- 半身裙/裤
- 违反
- 午休
- 浏览器
- 浏览
- 虫子
- 但是
- by
- 被称为
- 来了
- CAN
- 能力
- 关心
- 小心
- 动画片
- 案件
- 原因
- 造成
- 原因
- Center
- 一定
- 链
- 字符
- 字符
- 经典
- 云端技术
- 码
- 合作
- 颜色
- 如何
- 购买的订单均
- 评论
- 公司
- 完成
- 已联繫
- 连续
- 考虑
- 建设
- 内容
- 控制
- 受控
- 兑换
- 转换
- 公司
- 相应
- 可以
- 课程
- 外壳
- 创建信息图
- 创建
- 克鲁克斯
- 合作伙伴
- 网络安全
- data
- 数据泄露
- 数据库
- 数据库
- 决定
- 交付
- 问题类型
- 检测
- 检测
- 决心
- 研发支持
- DevOps的
- 不同
- 直接
- 屏 显:
- 破坏
- do
- 不
- 别
- 下载
- 下载
- 下降
- 删除
- 配音
- 每
- 早
- 易
- 邮箱地址
- 结束
- 错误
- 甚至
- EVER
- 日常
- 例子
- 例子
- 执行
- 执行
- 现有
- 专门知识
- 利用
- 裸露
- 延期
- 外部
- 额外
- 事实
- 熟悉
- 远
- 想通
- 文件
- 档
- 找到最适合您的地方
- 姓氏:
- 遵循
- 以下
- 针对
- 发现
- FRAME
- 止
- 前
- 前端
- 刚
- 其他咨询
- 一般用途
- 通常
- 生成
- 产生
- 发电
- 发电机
- 得到
- 给
- 给予
- 非常好
- 大
- 团队
- 民政事务总署
- 处理
- 有
- 听说
- 高度
- 抱有希望
- 徘徊
- 创新中心
- How To
- 但是
- HTML
- HTTP
- HTTPS
- 狩猎
- if
- 信息系统
- in
- 包含
- 臭名昭著
- 信息
- 注入
- 输入
- 代替
- 接口
- 接口
- 内部
- 网络
- 成
- 涉及
- 参与
- 发行
- IT
- 它的
- 本身
- 只是
- 只有一个
- 已知
- 大
- 大规模
- 名:
- 后来
- 发射
- 学习
- 左
- 减
- 喜欢
- Line
- 线
- 清单
- LOOKS
- 查找
- 制成
- 使
- 制作
- 制作
- 恶意软件
- 管理
- 管理
- 颠覆性技术
- 许多
- 三月
- 余量
- 匹配
- 最大宽度
- 可能..
- 意味着
- 意
- 手段
- 微软
- 可能
- 更多
- 最先进的
- 姓名
- 命名
- 名称
- 需求
- 需要
- 网络
- 全新
- 新
- 消息
- 正常
- 没什么
- 现在
- of
- 折扣
- on
- 一旦
- 一
- 仅由
- or
- 秩序
- 其他名称
- 除此以外
- 我们的
- 输出
- 结果
- 产量
- 己
- 页
- 参数
- 部分
- 打补丁
- 保罗
- 也许
- 人
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 位置
- 可能
- 帖子
- 大概
- 过程
- 热销产品
- 曲目
- 程序员
- 进展
- 提供
- 提供
- 出版
- 放
- 查询
- 报价
- 范围
- 勒索
- 宁
- 原
- 阅读
- 阅读
- 真
- 有关
- 相对的
- 远程
- 一个回复
- 请求
- 要求
- 要求
- 响应
- REST的
- 检讨
- 右
- 运行
- 运行
- 同
- 对工资盗窃
- 说
- 扫描
- 脚本
- 搜索
- 搜索
- 其次
- 安全
- 看到
- 销售
- 提交
- 发送
- 敏感
- 发送
- 服务
- 特色服务
- Share
- 共享
- 短
- 显示
- 如图
- 只是
- 单
- So
- 至今
- 软件
- 固体
- 一些
- 特别
- 具体的
- SQL
- SQL注入
- 开始
- 个人陈述
- 商店
- 存储
- 串
- 结构体
- 提交
- 提交
- 这样
- 提示
- 供应
- 供应链
- 支持
- 可疑
- SVG的
- 句法
- 系统
- 表
- 采取
- 团队
- 术语
- 条款
- 比
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- 事
- Free Introduction
- 威胁
- 三
- 始终
- 次
- 至
- 最佳
- 转让
- 转让
- 过渡
- 透明
- 治疗
- 引发
- 转
- 转身
- 二
- 直到
- 跟上时代的
- 网址
- 使用
- 用过的
- 用户
- 用户界面
- 运用
- 平时
- 版本
- 通过
- 参观
- 漏洞
- 是
- 方法..
- we
- 卷筒纸
- 网页浏览器
- Web服务器
- 基于网络的
- 周
- 井
- 为
- 什么是
- ,尤其是
- 是否
- 这
- WHO
- 全
- 为什么
- 将
- 也完全不需要
- 话
- 工作
- 锻炼
- 工作流程
- 流程自动化
- 加工
- 担心
- 将
- 您
- 您一站式解决方案
- 你自己
- 和风网