NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Czy raczej… ukradli. W każdym razie chodzi o podatność SQL Injection w systemie MOVEit MFT (“bezpieczny” transfer plików – appka/system wykorzystywana przez wiele globalnych korporacji), CVE-2023-34362.
Do masowych ataków na MOVEit MFT doszło w 2023 roku, a wg doniesień firmy Coveware, grupa ransomware CloP mogła na całej akcji “zarobić” 75-100 milionów dolarów (!)
Atak polegał na stworzeniu konta guest w systemie, a następnie za pomocą SQL injection (patrz zrzut poniżej) nadaniu mu uprawnień admina:
Z ciekawostek – payloady SQL injection wydają się być tutaj względnie skomplikowane, a to za sprawą filtrowania po stronie serwera, które wycinało przecinki. Atakujący dawali sobie więc radę bez przecinka…
Sprawa ponownie nabrała rozgłosu parę dni temu, kiedy atakujący udostępnili część wykradzionych danych na jednym z forów.
~ms
Na pociechę – jeżeli publikują, to pewnie ten sposób już nie działa.
To zależy od admina, sposób zabezpieczenia przed SQL Injection jest znany od dawna.