NASA: SQL injection από Έλληνες ερευνητές

Δύο Έλληνες ερευνητές κατάφεραν να εντοπίσουν ένα κενό ασφαλείας σε ιστοσελίδα της NASA (subdomain), κάτι που τους επέτρεψε να πραγματοποιήσουν SQL injection και να αποκτήσουν πρόσβαση στη βάση δεδομένων του οργανισμού.

Σύμφωνα με τους Έλληνες ερευνητές, ο Αμερικάνικος διαστημικός οργανισμός , ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας, αλλά μέχρι σήμερα, δεν έχουν προβεί σε κάποια επιδιόρθωση.

Οι ερευνητές Dimitris Chatzidimitris και Anastasis Vasileiadhs αναφέρουν στο Secnews.gr μέσω ηλεκτρονικού ταχυδρομείου:

“Στις 29 Αυγούστου εντοπίσαμε μια ευπάθεια κατά την πλοήγηση μας σε μια σελίδα της Nasa (https://www.jpl.nasα.gov/) η οποία σχετίζεται με διάφορα συστήματα προώθησης

Σημείωση Secnews.gr: Δεν αναγράφουμε το link για ευνόητους λόγους αλλά παραθέτουμε μερικά από τα στοιχεία που λάβαμε με email:

Parameter: catId (GET)
Type: boolean-based blind
Database version: 5.1.61-community-lo

“Η συγκεκριμένη ευπάθεια μας έδωσε πρόσβαση στις βάσεις δεδομένων της συγκεκριμένης ιστοσελίδας”

Οι ερευνητές αναφέρουν:

“Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από τις βάσεις εφόσον είχαμε ήδη επιβεβαίωση την αδυναμία στην ασφάλεια της σελίδας.

Άμεσα στις 27 Αυγούστου επικοινωνήσαμε μέσω της contact form στην σελίδα τους και τους ενημερώσαμε αναλυτικά ώστε να προβούν στην επιδιόρθωση της ασφάλειας τους.

Έως και σήμερα 8 Σεπτεμβρίου δεν πήραμε καμία απάντηση σχετικά.

Security researchers:

Dimitris Chatzidimitris
Anastasis Vasileiadhs”

Παραθέτουμε ένα screenshoot από τα tables της βάσης δεδομένων. Παρατηρούμε ότι στα tables εμπεριέχονται και αυτά που αναγράφουν δεδομένα χρηστών της ιστοσελίδας (ονόματα χρηστών και κωδικούς πρόσβασης).

Δείτε την παρακάτω εικόνα (wp-users, contacts, Member, authors)


via: secnews.gr