深入探讨:近距离接触MoveIT未修补漏洞
软件供应链网络攻击变得越来越普遍,引发了美国政府层面的一系列立法变革,而企业则争先恐后地缓解其庞大的风险状况并迅速提高软件质量。仅在今年,就有三个与文件共享服务相关的未修补漏洞,其中最大和最具破坏性的漏洞以MoveIT大规模漏洞的形式出现。
由CL0P勒索软件组织牵头的MoveIT事件在网络安全新闻中占据主导地位已有一段时间,有1,000多个组织受到影响。这个数字将继续增长,这是自2021年Solarwinds以来最强大的软件供应链攻击之一。
此次大规模漏洞的催化剂是一组 SQL 注入漏洞,最终的严重性分数为 MITRE 的 10 分中有 9.8 分。自90年代末以来,SQL注入一直是安全专业人员的麻烦,尽管修复方法相当简单,但它仍在继续进入现代软件,并为威胁参与者提供敏感数据的红地毯。
MoveIT 场景与许多开发人员和 AppSec 专业人员以前可能经历的情景略有不同,你可以在这里的实时模拟中测试你的 SQLI-slaying 技能:
>>> 玩 MoveIT 任务
漏洞:SQL 注入
究竟是如何使用SQL注入来利用Progress Software的MoveIT文件传输应用程序的?
CL0P 勒索软件组织得以利用 SQL 注入漏洞 CVE-2023-34362,允许他们不受限制和未经授权地访问 MoveIT 的数据库。从那以后,他们得以安装LEMURLOOT,这是一个网络外壳,最终允许他们运行多个高风险的关键流程,例如检索系统设置、枚举 SQL 数据库、从 MoveIT Transfer 系统检索文件以及创建具有完全管理权限的新帐户。
毋庸置疑,这种攻击载体可能是相对简单的错误造成的——这个错误可以归结为长期使用不良的编码模式——但它在企业层面造成持续问题的可能性是巨大的。
与 MoveIt 漏洞相比,让我们来看看这个 SQLi 解释器,它模拟了注入和执行恶意 SQL 的方法:
这个查询字符串和变量:
字符串电子邮件地址 =”contact@scw.com“;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
将导致以下查询:
var query = $ “从用户那里选择 u.Username 作为 u 其中 u.email = 'contact@scw.com'”;
... 还有恶意制作的输入:
string emailAddress = "contact@scw.com ';从 ID = 2 的发票中删除;--”;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
它将变成:
var query = $ “从用户中选择 u.username 作为 u 其中 uwhere u.email = 'contact@scw.com';在 ID = 2 时从发票中删除;--'”;
在飞行中看起来怎么样?
请注意,由于字符串串联,输入被解释为 SQL 语法。首先,添加单引号以确保 SELECT 语句是有效的 SQL 语法。接下来,添加分号以终止第一条语句。
一旦设置完毕,将添加一个有效的 DELETE 语句,然后添加两个连字符以注释掉所有尾随字符(单引号)。例如,如果恶意 SQL 要更新用户的角色或密码,也可以很容易地添加 UPDATE 语句。
在这个可玩的任务中亲自尝试一下:
虽然相对简单,但 SQLi 仍然是一个强大的攻击载体,而且非常常见。就MoveIT而言,此漏洞为破坏性的后门安装以及一系列严重程度相似的进一步攻击铺平了道路。
如何减轻 SQL 注入风险?
对于任何将MoveIT用作业务运营一部分的公司,都必须遵循以下建议的补救建议 进度软件。这包括但不限于将安全补丁作为紧急级别的优先事项。
对于一般的 SQL 注入,请查看我们的 综合指南。
想更多地了解如何编写安全代码和降低风险吗?试试我们的 免费的 SQL 注入挑战赛。
如果你有兴趣获得更多免费编程指南,请查看 安全代码教练 帮助您掌握安全编码最佳实践。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Laura Verheyde is a software developer at Secure Code Warrior focused on researching vulnerabilities and creating content for Missions and Coding labs.
软件供应链网络攻击变得越来越普遍,引发了美国政府层面的一系列立法变革,而企业则争先恐后地缓解其庞大的风险状况并迅速提高软件质量。仅在今年,就有三个与文件共享服务相关的未修补漏洞,其中最大和最具破坏性的漏洞以MoveIT大规模漏洞的形式出现。
由CL0P勒索软件组织牵头的MoveIT事件在网络安全新闻中占据主导地位已有一段时间,有1,000多个组织受到影响。这个数字将继续增长,这是自2021年Solarwinds以来最强大的软件供应链攻击之一。
此次大规模漏洞的催化剂是一组 SQL 注入漏洞,最终的严重性分数为 MITRE 的 10 分中有 9.8 分。自90年代末以来,SQL注入一直是安全专业人员的麻烦,尽管修复方法相当简单,但它仍在继续进入现代软件,并为威胁参与者提供敏感数据的红地毯。
MoveIT 场景与许多开发人员和 AppSec 专业人员以前可能经历的情景略有不同,你可以在这里的实时模拟中测试你的 SQLI-slaying 技能:
>>> 玩 MoveIT 任务
漏洞:SQL 注入
究竟是如何使用SQL注入来利用Progress Software的MoveIT文件传输应用程序的?
CL0P 勒索软件组织得以利用 SQL 注入漏洞 CVE-2023-34362,允许他们不受限制和未经授权地访问 MoveIT 的数据库。从那以后,他们得以安装LEMURLOOT,这是一个网络外壳,最终允许他们运行多个高风险的关键流程,例如检索系统设置、枚举 SQL 数据库、从 MoveIT Transfer 系统检索文件以及创建具有完全管理权限的新帐户。
毋庸置疑,这种攻击载体可能是相对简单的错误造成的——这个错误可以归结为长期使用不良的编码模式——但它在企业层面造成持续问题的可能性是巨大的。
与 MoveIt 漏洞相比,让我们来看看这个 SQLi 解释器,它模拟了注入和执行恶意 SQL 的方法:
这个查询字符串和变量:
字符串电子邮件地址 =”contact@scw.com“;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
将导致以下查询:
var query = $ “从用户那里选择 u.Username 作为 u 其中 u.email = 'contact@scw.com'”;
... 还有恶意制作的输入:
string emailAddress = "contact@scw.com ';从 ID = 2 的发票中删除;--”;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
它将变成:
var query = $ “从用户中选择 u.username 作为 u 其中 uwhere u.email = 'contact@scw.com';在 ID = 2 时从发票中删除;--'”;
在飞行中看起来怎么样?
请注意,由于字符串串联,输入被解释为 SQL 语法。首先,添加单引号以确保 SELECT 语句是有效的 SQL 语法。接下来,添加分号以终止第一条语句。
一旦设置完毕,将添加一个有效的 DELETE 语句,然后添加两个连字符以注释掉所有尾随字符(单引号)。例如,如果恶意 SQL 要更新用户的角色或密码,也可以很容易地添加 UPDATE 语句。
在这个可玩的任务中亲自尝试一下:
虽然相对简单,但 SQLi 仍然是一个强大的攻击载体,而且非常常见。就MoveIT而言,此漏洞为破坏性的后门安装以及一系列严重程度相似的进一步攻击铺平了道路。
如何减轻 SQL 注入风险?
对于任何将MoveIT用作业务运营一部分的公司,都必须遵循以下建议的补救建议 进度软件。这包括但不限于将安全补丁作为紧急级别的优先事项。
对于一般的 SQL 注入,请查看我们的 综合指南。
想更多地了解如何编写安全代码和降低风险吗?试试我们的 免费的 SQL 注入挑战赛。
如果你有兴趣获得更多免费编程指南,请查看 安全代码教练 帮助您掌握安全编码最佳实践。
软件供应链网络攻击变得越来越普遍,引发了美国政府层面的一系列立法变革,而企业则争先恐后地缓解其庞大的风险状况并迅速提高软件质量。仅在今年,就有三个与文件共享服务相关的未修补漏洞,其中最大和最具破坏性的漏洞以MoveIT大规模漏洞的形式出现。
由CL0P勒索软件组织牵头的MoveIT事件在网络安全新闻中占据主导地位已有一段时间,有1,000多个组织受到影响。这个数字将继续增长,这是自2021年Solarwinds以来最强大的软件供应链攻击之一。
此次大规模漏洞的催化剂是一组 SQL 注入漏洞,最终的严重性分数为 MITRE 的 10 分中有 9.8 分。自90年代末以来,SQL注入一直是安全专业人员的麻烦,尽管修复方法相当简单,但它仍在继续进入现代软件,并为威胁参与者提供敏感数据的红地毯。
MoveIT 场景与许多开发人员和 AppSec 专业人员以前可能经历的情景略有不同,你可以在这里的实时模拟中测试你的 SQLI-slaying 技能:
>>> 玩 MoveIT 任务
漏洞:SQL 注入
究竟是如何使用SQL注入来利用Progress Software的MoveIT文件传输应用程序的?
CL0P 勒索软件组织得以利用 SQL 注入漏洞 CVE-2023-34362,允许他们不受限制和未经授权地访问 MoveIT 的数据库。从那以后,他们得以安装LEMURLOOT,这是一个网络外壳,最终允许他们运行多个高风险的关键流程,例如检索系统设置、枚举 SQL 数据库、从 MoveIT Transfer 系统检索文件以及创建具有完全管理权限的新帐户。
毋庸置疑,这种攻击载体可能是相对简单的错误造成的——这个错误可以归结为长期使用不良的编码模式——但它在企业层面造成持续问题的可能性是巨大的。
与 MoveIt 漏洞相比,让我们来看看这个 SQLi 解释器,它模拟了注入和执行恶意 SQL 的方法:
这个查询字符串和变量:
字符串电子邮件地址 =”contact@scw.com“;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
将导致以下查询:
var query = $ “从用户那里选择 u.Username 作为 u 其中 u.email = 'contact@scw.com'”;
... 还有恶意制作的输入:
string emailAddress = "contact@scw.com ';从 ID = 2 的发票中删除;--”;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
它将变成:
var query = $ “从用户中选择 u.username 作为 u 其中 uwhere u.email = 'contact@scw.com';在 ID = 2 时从发票中删除;--'”;
在飞行中看起来怎么样?
请注意,由于字符串串联,输入被解释为 SQL 语法。首先,添加单引号以确保 SELECT 语句是有效的 SQL 语法。接下来,添加分号以终止第一条语句。
一旦设置完毕,将添加一个有效的 DELETE 语句,然后添加两个连字符以注释掉所有尾随字符(单引号)。例如,如果恶意 SQL 要更新用户的角色或密码,也可以很容易地添加 UPDATE 语句。
在这个可玩的任务中亲自尝试一下:
虽然相对简单,但 SQLi 仍然是一个强大的攻击载体,而且非常常见。就MoveIT而言,此漏洞为破坏性的后门安装以及一系列严重程度相似的进一步攻击铺平了道路。
如何减轻 SQL 注入风险?
对于任何将MoveIT用作业务运营一部分的公司,都必须遵循以下建议的补救建议 进度软件。这包括但不限于将安全补丁作为紧急级别的优先事项。
对于一般的 SQL 注入,请查看我们的 综合指南。
想更多地了解如何编写安全代码和降低风险吗?试试我们的 免费的 SQL 注入挑战赛。
如果你有兴趣获得更多免费编程指南,请查看 安全代码教练 帮助您掌握安全编码最佳实践。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Laura Verheyde is a software developer at Secure Code Warrior focused on researching vulnerabilities and creating content for Missions and Coding labs.
软件供应链网络攻击变得越来越普遍,引发了美国政府层面的一系列立法变革,而企业则争先恐后地缓解其庞大的风险状况并迅速提高软件质量。仅在今年,就有三个与文件共享服务相关的未修补漏洞,其中最大和最具破坏性的漏洞以MoveIT大规模漏洞的形式出现。
由CL0P勒索软件组织牵头的MoveIT事件在网络安全新闻中占据主导地位已有一段时间,有1,000多个组织受到影响。这个数字将继续增长,这是自2021年Solarwinds以来最强大的软件供应链攻击之一。
此次大规模漏洞的催化剂是一组 SQL 注入漏洞,最终的严重性分数为 MITRE 的 10 分中有 9.8 分。自90年代末以来,SQL注入一直是安全专业人员的麻烦,尽管修复方法相当简单,但它仍在继续进入现代软件,并为威胁参与者提供敏感数据的红地毯。
MoveIT 场景与许多开发人员和 AppSec 专业人员以前可能经历的情景略有不同,你可以在这里的实时模拟中测试你的 SQLI-slaying 技能:
>>> 玩 MoveIT 任务
漏洞:SQL 注入
究竟是如何使用SQL注入来利用Progress Software的MoveIT文件传输应用程序的?
CL0P 勒索软件组织得以利用 SQL 注入漏洞 CVE-2023-34362,允许他们不受限制和未经授权地访问 MoveIT 的数据库。从那以后,他们得以安装LEMURLOOT,这是一个网络外壳,最终允许他们运行多个高风险的关键流程,例如检索系统设置、枚举 SQL 数据库、从 MoveIT Transfer 系统检索文件以及创建具有完全管理权限的新帐户。
毋庸置疑,这种攻击载体可能是相对简单的错误造成的——这个错误可以归结为长期使用不良的编码模式——但它在企业层面造成持续问题的可能性是巨大的。
与 MoveIt 漏洞相比,让我们来看看这个 SQLi 解释器,它模拟了注入和执行恶意 SQL 的方法:
这个查询字符串和变量:
字符串电子邮件地址 =”contact@scw.com“;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
将导致以下查询:
var query = $ “从用户那里选择 u.Username 作为 u 其中 u.email = 'contact@scw.com'”;
... 还有恶意制作的输入:
string emailAddress = "contact@scw.com ';从 ID = 2 的发票中删除;--”;
var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
它将变成:
var query = $ “从用户中选择 u.username 作为 u 其中 uwhere u.email = 'contact@scw.com';在 ID = 2 时从发票中删除;--'”;
在飞行中看起来怎么样?
请注意,由于字符串串联,输入被解释为 SQL 语法。首先,添加单引号以确保 SELECT 语句是有效的 SQL 语法。接下来,添加分号以终止第一条语句。
一旦设置完毕,将添加一个有效的 DELETE 语句,然后添加两个连字符以注释掉所有尾随字符(单引号)。例如,如果恶意 SQL 要更新用户的角色或密码,也可以很容易地添加 UPDATE 语句。
在这个可玩的任务中亲自尝试一下:
虽然相对简单,但 SQLi 仍然是一个强大的攻击载体,而且非常常见。就MoveIT而言,此漏洞为破坏性的后门安装以及一系列严重程度相似的进一步攻击铺平了道路。
如何减轻 SQL 注入风险?
对于任何将MoveIT用作业务运营一部分的公司,都必须遵循以下建议的补救建议 进度软件。这包括但不限于将安全补丁作为紧急级别的优先事项。
对于一般的 SQL 注入,请查看我们的 综合指南。
想更多地了解如何编写安全代码和降低风险吗?试试我们的 免费的 SQL 注入挑战赛。
如果你有兴趣获得更多免费编程指南,请查看 安全代码教练 帮助您掌握安全编码最佳实践。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
