ĐANG MƯA SQLIS —
Đúng lúc vào cuối tuần: một lỗ hổng không xác thực SQL injection!
Dan Goodin –
MOVEit, phần mềm chuyển tập tin bị tấn công trong vài tuần gần đây trong một trong những cuộc tấn công mạng lớn nhất trong lịch sử, đã nhận được một bản cập nhật bảo mật khác mới nhất mà sửa đổi một lỗ hổng quan trọng có thể được tận dụng để cho phép hacker có truy cập vào lượng dữ liệu nhạy cảm lớn.
Vào thứ Năm, nhà sản xuất MOVEit Progress Software đã công bố một thông báo bảo mật bao gồm các sửa đổi cho ba lỗ hổng mới được phát hiện trong ứng dụng chuyển tập tin. Lỗ hổng nghiêm trọng nhất, được theo dõi như CVE-2023-36934, cho phép một hacker không xác thực có thể nhận được truy cập không được phép đến cơ sở dữ liệu ứng dụng. Nó xuất phát từ một lỗ hổng bảo mật cho phép SQL injection, một trong những lớp tấn công cũ nhất và phổ biến nhất.
Lỗ hổng chứa các yếu tố giống nhau – và có thể có cùng hậu quả có thể tàn phá đáng kinh ngạc – như một lỗ hổng được phát hiện vào cuối tháng 5 khi các thành viên của đội Clop ransomware bắt đầu tấn công mạnh mẽ trên các mạng tưởng chừng bị tấn công. Đến nay, cuộc tấn công Clop đã đụng độ 229 tổ chức và làm rò rỉ dữ liệu ảnh hưởng đến hơn 17 triệu người, theo số liệu theo dõi bởi Brett Callow, một nhà phân tích của công ty bảo mật Emsisoft. Nạn nhân bao gồm cảng biển Louisiana và Oregon, Sở Giáo dục Thành phố New York và các công ty năng lượng Schneider Electric và Siemens Electric.
Không có báo cáo nào được biết về lỗ hổng mới được tấn công hoạt động, nhưng có thể dựa trên kinh nghiệm trước đó, Progress Software và các nhà thực hành bảo mật đang khuyến khích tất cả người dùng MOVEit cài đặt ngay lập tức. Ngoài CVE-2023-36934, bản cập nhật bảo mật thứ Năm cũng sửa đổi hai lỗ hổng khác. Tất cả đều được phát hiện bởi các công ty bảo mật HackerOne và Trend Micro.
Nhà phát triển, gặp Bobby Tables
Một điều làm cho CVE-2023-36934 và lỗ hổng trước được tấn công bởi Clop rất quan trọng là chúng có thể được tận dụng bởi những người khi họ thậm chí cũng không đăng nhập vào hệ thống mà họ đang tấn công. Cả hai cũng xuất phát từ lỗi cho phép SQL injection, một lớp lỗ hổng có lịch sử lâu dài của sử dụng sai lầm. Thường được viết tắt là SQLi, nó xuất phát từ một sự thất bại của một ứng dụng web không thể truy vấn đúng cơ sở dữ liệu phía sau. Cú pháp SQL sử dụng dấu ngoặc để chỉ ra bắt đầu và kết thúc của một chuỗi dữ liệu. Các dấu ngoặc cho phép trình phân tích SQL phân biệt giữa các chuỗi dữ liệu và các lệnh cơ sở dữ liệu.
Ứng dụng web được viết không đúng có thể có
Trong tháng qua, một lỗ hổng bảo mật nghiêm trọng đã được khai thác tấn công ứng dụng MOVEit của bên thứ ba. Các lỗ hổng này đã phá hủy các dữ liệu người dùng nhằm tìm các thông tin bảo mật có giá trị như tên tài khoản, mật khẩu, thông tin thanh toán, địa chỉ IP và bản ghi khác.
Theo những báo cáo, hệ thống của MOVEit đã bị tấn công bởi một nhóm hacker qua địa chỉ IP chưa xác định. Những đối tượng hành vi này không chỉ có thể quyền lực để đọc, chỉnh sửa và chuyển giao các tập tin nhà bạn, mà còn có thể ám sát phiên bản mã nguồn để có thể làm thay đổi các quyết định của quản trị viên.
Thực tế, lỗ hổng này cung cấp một cơ hội để các tấn công viên liên minh có thể có truy cập vào các hệ thống bảo mật rất tốt của các công ty lớn. Chúng ta cũng biết rằng nếu không được thiết lập và duy trì một bảo mật tốt, thì sự việc phá hoại các hệ thống của các doanh nghiệp một cách nhanh chóng và hiệu quả có thể được chứng minh.
Do đó, lời khuyên của chúng tôi cho các công ty là đảm bảo độ bảo mật lên đến mức cao nhất có thể bằng cách khắc phục những lỗ hổng bảo mật nghiêm trọng nhất nếu có thể. Những bảo mật tốt nhất có thể giúp các công ty giữ cho hệ thống an toàn bền vững và phòng tránh những rủi ro liên quan đến bảo mật.