Η Progress Software, η κατασκευάστρια εταιρεία της πλατφόρμας ανταλλαγής αρχείων MOVEit Transfer, η οποία χρησιμοποιήθηκε πρόσφατα σε εκτεταμένες επιθέσεις κλοπής δεδομένων, προειδοποίησε τους πελάτες της να επιδιορθώσουν μια ευπάθεια μέγιστης σοβαρότητας στο λογισμικό WS_FTP Server.
Η εταιρεία αναφέρει ότι χιλιάδες ομάδες πληροφορικής παγκοσμίως χρησιμοποιούν το λογισμικό ασφαλούς μεταφοράς αρχείων WS_FTP Server επιχειρηματικής ποιότητας.
Σε μια συμβουλευτική που δημοσιεύθηκε την Τετάρτη, η Progress αποκάλυψε πολλαπλές ευπάθειες που επηρεάζουν τη διεπαφή διαχειριστή του λογισμικού και το Ad hoc Transfer Module.
Από όλα τα κενά ασφαλείας του WS_FTP Server που επιδιορθώθηκαν αυτή την εβδομάδα, δύο από αυτά αξιολογήθηκαν ως κρίσιμα, με το ένα που παρακολουθείται ως CVE-2023-40044 να λαμβάνει μέγιστη βαθμολογία σοβαρότητας 10/10 και να επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν απομακρυσμένες εντολές μετά από επιτυχή εκμετάλλευση μιας ευπάθειας αποδιαταξικοποίησης .NET στο Ad Hoc Transfer Module.
Το άλλο κρίσιμο σφάλμα (CVE-2023-42657) είναι μια ευπάθεια διάσχισης καταλόγου που επιτρέπει στους επιτιθέμενους να εκτελούν λειτουργίες αρχείων εκτός της εξουσιοδοτημένης διαδρομής του φακέλου WS_FTP.
Σύμφωνα με την αξιολόγηση CVSS:3.1 της εταιρείας και για τις δύο ευπάθειες, οι επιτιθέμενοι μπορούν να τις εκμεταλλευτούν με επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
“Έχουμε αντιμετωπίσει τις παραπάνω ευπάθειες και η ομάδα Progress WS_FTP συνιστά ανεπιφύλακτα την πραγματοποίηση αναβάθμισης”, προειδοποίησε η Progress.
“Συνιστούμε την αναβάθμιση στην υψηλότερη έκδοση που είναι η 8.8.2. Η αναβάθμιση σε μια ενημερωμένη έκδοση, χρησιμοποιώντας τον πλήρη εγκαταστάτη, είναι ο μόνος τρόπος για την αποκατάσταση αυτού του προβλήματος. Θα υπάρξει διακοπή λειτουργίας του συστήματος κατά τη διάρκεια της αναβάθμισης”.
Η εταιρεία κοινοποίησε επίσης πληροφορίες σχετικά με τον τρόπο αφαίρεσης ή απενεργοποίησης του ευάλωτου WS_FTP Server Ad Hoc Transfer Module, εάν δεν χρησιμοποιείται.
2.100 επιτυχημένες επιθέσεις κλοπής δεδομένων MOVEit και συνεχίζεται η καταμέτρηση
Η Progress εξακολουθεί να αντιμετωπίζει τα επακόλουθα μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων μετά την εκμετάλλευση μιας μηδενικής ημέρας στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer από τη συμμορία ransomware Clop από τις 27 Μαΐου.
Σύμφωνα με τις εκτιμήσεις που μοιράστηκε η εταιρεία ασφαλείας Emsisoft τη Δευτέρα, οι επιπτώσεις αυτών των επιθέσεων έχουν επηρεάσει περισσότερους από 2.100 οργανισμούς και πάνω από 62 εκατομμύρια άτομα.Παρά την ευρεία εμβέλεια και τον μεγάλο αριθμό θυμάτων, οι εκτιμήσεις της Coveware υποδηλώνουν ότι μόνο ένας περιορισμένος αριθμός είναι πιθανό να υποκύψει στις απαιτήσεις λύτρων της Clop. Παρόλα αυτά, η ομάδα κυβερνοεγκληματιών αναμένεται να εισπράξει περίπου 75-100 εκατομμύρια δολάρια σε πληρωμές λόγω των υψηλών απαιτήσεων λύτρων.
Επιπλέον, έχουν επίσης εμφανιστεί αναφορές που δείχνουν ότι πολλές ομοσπονδιακές υπηρεσίες των ΗΠΑ και δύο οντότητες που υπάγονται στο Υπουργείο Ενέργειας των ΗΠΑ (DOE) έχουν πέσει θύματα των επιθέσεων κλοπής δεδομένων της Clop.
Η Clop έχει συνδεθεί με πολλαπλές εκστρατείες κλοπής δεδομένων και εκβιασμών υψηλού αντίκτυπου που στόχευαν άλλες πλατφόρμες διαχειριζόμενης μεταφοράς αρχείων, συμπεριλαμβανομένων των διακομιστών Accellion FTA τον Δεκέμβριο του 2020, των επιθέσεων SolarWinds Serv-U Managed File Transfer το 2021 και της μαζικής zero-day εκμετάλλευσης στο GoAnywhere MFT τον Ιανουάριο του 2023.
Την Τρίτη, η Progress Software ανακοίνωσε αύξηση των εσόδων της κατά 16% σε σχέση με το προηγούμενο έτος για το τρίτο οικονομικό τρίμηνο που έληξε στις 31 Αυγούστου 2023, σε έντυπο 8-K που κατατέθηκε στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ.
Σε αυτό το tutorial θα χρησιμοποιήσουμε το NMAP για να συγκεντρώσουμε πληροφορίες για ανοικτές πόρτες στο στόχο μας.
Ας ξεκινήσουμε με κάποια βασικά πράγματα για το NMAP.
Χρησιμοποιώντας το NMAP μπορούμε να βρούμε ανοικτές πόρτες και εκδόσεις υπηρεσιών οι οποίες τρέχουν σε ένα server και μπορούν να μας βοηθήσουν να λάβουμε άμεση πρόσβαση εκμεταλλεύοντας οποιαδήποτε λειτουργία ή μέσω bruteforce. Επίσης μπορούν να μας βοηθήσουν να καταλάβουμε σχετικά με υπηρεσίες οι οποίες τρέχουν στο server, έτσι ώστε αργότερα μπορεί να χρειαστούν ενώ κάνουμε pentesting.
Δύο βασικοί τύποι σκαναρίσματος οι οποίοι χρησιμοποιούνται συχνότερα στο NMAP είναι το TCP connect() scanning [-sT] και το SYN scanning (γνωστό επίσης και ως half-open, ή stealth scanning) [-sS].
Για ένα απλό σκανάρισμα για πόρτες:
Nmap <IP Address>
Για ένα Stealth σκανάρισμα για πόρτες:
Nmap -sS <IP Address>
Για να σκανάρουμε την έκδοση μιας υπηρεσίας η οποία τρέχει σε ανοικτές πόρτες χρησιμοποιούμε τη μεταβλητή -sV
Nmap -sV <IP Address>
Μερικές φορές αν ένας server μπλοκάρει το ping μας και δείχνει πως δε λειτουργεί, τότε μπορούμε να χρησιμοποιήουμε τη μεταβλητή -Pn για να το σκανάρουμε
Nmap -sV -Pn <IP Address>
Για να βρούμε το λειτουργικό σύστημα μπορούμε να χρησιμοποιήσουμε το τη μεταβλητή -O
Εκτιμάται ότι 12.000 τείχη προστασίας SRX και διακόπτες EX της Juniper είναι ευάλωτα σε ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα χωρίς αρχείο, το οποίο οι επιτιθέμενοι μπορούν να εκμεταλλευτούν χωρίς έλεγχο ταυτότητας.
Τον Αύγουστο, η Juniper αποκάλυψε πολυάριθμες ευπάθειες “PHP environment variant manipulation” (CVE-2023-36844/CVE-2023-36845) και “Missing Authentication for Critical Function” (CVE-2023-36846/CVE-2023-36847), οι οποίες από μόνες τους είχαν μόνο μια “μεσαία” βαθμολογία σοβαρότητας 5,3.
Ωστόσο, όταν αυτές οι ευπάθειες συνδυάστηκαν μεταξύ τους, έγιναν ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα με βαθμολογία 9,8.
Σε μια μεταγενέστερη τεχνική έκθεση, η watchTowr Labs δημοσίευσε ένα PoC που συνδύαζε τις ατέλειες CVE-2023-36845 και CVE-2023-36846, επιτρέποντας στους ερευνητές να εκτελέσουν κώδικα εξ αποστάσεως ανεβάζοντας δύο αρχεία σε μια ευάλωτη συσκευή.
Σήμερα, ο Jacob Baines, ερευνητής ευπαθειών του VulnCheck, κυκλοφόρησε ένα άλλο PoC exploit που χρησιμοποιεί μόνο το CVE-2023-36845, παρακάμπτοντας την ανάγκη μεταφόρτωσης αρχείων, ενώ εξακολουθεί να επιτυγχάνει απομακρυσμένη εκτέλεση κώδικα.
Στο πλαίσιο της έκθεσης του Baines, ο ερευνητής μοιράστηκε έναν δωρεάν σαρωτή στο GitHub για να βοηθήσει στον εντοπισμό ευάλωτων αναπτύξεων, δείχνοντας χιλιάδες ευάλωτες συσκευές εκτεθειμένες στο διαδίκτυο.
Το νέο exploit
Ο Baines λέει ότι αγόρασε ένα παλιό τείχος προστασίας Juniper SRX210 για να δοκιμάσει την εκμετάλλευση, αλλά διαπίστωσε ότι η συσκευή του δεν διέθετε τη λειτουργικότητα do_fileUpload() που απαιτείται για τη μεταφόρτωση αρχείων στη συσκευή.
Αυτό ουσιαστικά έσπασε την αλυσίδα εκμετάλλευσης του watchTowr, αναγκάζοντας τον ερευνητή να δει αν υπήρχε άλλος τρόπος να επιτύχει απομακρυσμένη εκτέλεση κώδικα.
Ο Baines διαπίστωσε ότι θα μπορούσε να παρακάμψει την ανάγκη να φορτώσει δύο αρχεία στους διακομιστές-στόχους χειραγωγώντας τις μεταβλητές περιβάλλοντος.
Ο διακομιστής Appweb του τείχους προστασίας της Juniper επεξεργάζεται τα αιτήματα HTTP του χρήστη μέσω stdin κατά την εκτέλεση ενός σεναρίου CGI.
Εκμεταλλευόμενοι αυτό, οι επιτιθέμενοι μπορούν να ξεγελάσουν το σύστημα ώστε να αναγνωρίσει ένα ψευδο-“αρχείο”, /dev/fd/0, και προσαρμόζοντας τη μεταβλητή περιβάλλοντος PHPRC και την αίτηση HTTP, μπορούν να εμφανίσουν ευαίσθητα δεδομένα.
Στη συνέχεια, το VulnCheck αξιοποίησε τα χαρακτηριστικά ‘auto_prepend_file’ και ‘allow_url_include’ της PHP για να εκτελέσει αυθαίρετο κώδικα PHP μέσω του πρωτοκόλλου data:// χωρίς να φορτώσει κανένα αρχείο.
Τούτου λεχθέντος, η βαθμολογία σοβαρότητας του CVE-2023-36845, η οποία είναι 5,4, θα πρέπει τώρα να επανεκτιμηθεί σε μια πολύ υψηλότερη κρίσιμη βαθμολογία λόγω της ικανότητάς του να επιτύχει απομακρυσμένη εκτέλεση κώδικα χωρίς άλλα ελαττώματα.
Επιπτώσεις και κίνδυνοι
Η ευπάθεια CVE-2023-36845 επηρεάζει τις ακόλουθες εκδόσεις του Junos OS στις σειρές EX Series και SRX Series:
All versions before 20.4R3-S8
21.1 version 21.1R1 and later versions
21.2 versions before 21.2R3-S6
21.3 versions before 21.3R3-S5
21.4 versions before 21.4R3-S5
22.1 versions before 22.1R3-S3
22.2 versions before 22.2R3-S2
22.3 versions before 22.3R2-S2, 22.3R3
22.4 versions before 22.4R2-S1, 22.4R3
Ο προμηθευτής κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετώπισαν την ευπάθεια στις 17 Αυγούστου 2023. Ωστόσο, η χαμηλή βαθμολογία σοβαρότητας που έλαβε το ελάττωμα δεν σήμανε συναγερμό στους επηρεαζόμενους χρήστες, πολλοί από τους οποίους μπορεί να επέλεξαν να αναβάλουν την εφαρμογή του.
Οι σαρώσεις δικτύου του VulnCheck έδειξαν 14.951 Juniper με εκτεθειμένες στο διαδίκτυο διεπαφές ιστού. Από ένα δείγμα 3.000 συσκευών, ο Baines διαπίστωσε ότι το 79% ήταν ευάλωτο σε αυτό το σφάλμα RCE.
Αν αυτό το ποσοστό εφαρμοστεί σε όλες τις εκτεθειμένες συσκευές, τότε έχουμε 11.800 ευάλωτες συσκευές στο διαδίκτυο.
Τέλος, η έκθεση αναφέρει ότι οι Shadowserver και GreyNoise έχουν δει επιτιθέμενους να εξετάζουν τα τελικά σημεία του Junos OS, οπότε οι χάκερς διερευνούν ήδη την ευκαιρία να αξιοποιήσουν το CVE-2023-36845 σε επιθέσεις.
Ως εκ τούτου, οι διαχειριστές της Juniper πρέπει να εφαρμόσουν αυτές τις ενημερώσεις το συντομότερο δυνατό, καθώς θα μπορούσαν να χρησιμοποιηθούν για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
**Η SQL injection μπορεί να χωριστή σε 3 κατηγορίες**
INBAND:
Τα δεδομένα εξάγονται χρησιμοποιώντας το ίδιο κανάλι με αυτό που χρησιμοποιείτε για το injection στην SQL. Αυτός είναι ο πιο απλός τύπος επιθέσεις SQL όπου τα δεδομέναπαρουσιάζονται απευθείας στην ιστοσελίδα.
OUT_OF_BAND:
Τα δεδομένα εξάγονται χρησιμοποιώντας διαφορετικό κανάλι (π.χ κάποιο email) δηλαδή τα δεδομένα από το injection στέλνονται σε ένα email που έχει προκαθοριστεί.
INFERENTIAL:
Δεν υπάρχει πραγματική μεταφορά δεδομένων αλλα ο επιτιθέμενος είναι σε θέσει να ανακατασκευάσει τις πληροφορίες με την αποστολή συγκεκριμένου αιτήματος προς την βάση δεδομένων και παρατηρώντας την “συμπεριφορά” αντίδραση του website.
**ΤΥΠΟΙ SQL INJECTION**
ERROR-BASED: Ρωτάμε την Database κάτι που θα προκαλέσει κάποιο error
UNION-BASED:Το SQL union χρησιμοποιείτε για να συνδυάσει τα αποτελέσματα δυο η περισσοτέρων SELECT SQL σε ένα και μονο αποτέλεσμα
#παράδειγμα: http://example.com/page.asp?id=1UNION SELECT ALL 1,2,3,4--
http://example.com/page.asp?id=1UNION SELECT ALL 1,USER,3,4–
BLIND-BASED:Κάνουμε στην Database μια true/false ερώτηση και περιμένουμε εάν θα πάρουμε θετική απαντήσει, δηλαδή εάν θα εμφανιστεί το αποτέλεσμα που ρωτήσαμε, η αλλιώςχρησιμοποιώντας τον χρόνο ως μια παράμετρο
Υπάρχουν δυο τύποι injection που βασίζονται στο εάν ο τύπος του ευπαθές site είναι βασισμένο σε Integer η σε String. Στην περίπτωση του Integer για το injection δεν χρειαζόμαστε αυτό που λέμε single quote(‘)
Στην άλλη περίπτωση όμως του String τότε το single quote(‘) είναι απαραίτητο