Kενό ασφαλείας σε ιστοσελίδα του Υπ.Ψηφιακής Διακυβέρνησης

2021-04-19 02:13

Εντοπίστηκε κρίσιμο κενό ασφαλείας στην ιστοσελίδα του Μητρώου Δημοσίων Ιστότοπων και Εφαρμογών που ανήκει στο Υπουργείο Ψηφιακής Διακυβέρνησης και διαθέτει 585 καταχωρισμένους ιστότοπους και 36 καταχωρημένες εφαρμογές.

Δύο Έλληνες ερευνητές ο Δημήτρης Χατζηδημήτρης και ο Αναστάσης Βασιλειάδης κατάφεραν να εντοπίσουν ένα κενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης, και πιο συγκεκριμένα στο Μητρώο Δημόσιων Ιστότοπων και Εφαρμογών κάτι που τους επέτρεψε να πραγματοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση σε τμήμα της βάσης δεδομένων του οργανισμού.

Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης
Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης
 

Σύμφωνα με τους Έλληνες ερευνητές, ο οργανισμός ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας, αλλά μέχρι σήμερα, δεν έχει προβεί σε κάποια επιδιόρθωση.

Η ευπάθεια είναι τύπου SQL injection και η συγκεκριμένη αδυναμία:

  • Parameter: orgID (GET)
  • Type: time-based blind
  • Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

«Η συγκεκριμένη ευπάθεια μας έδωσε πρόσβαση στην βάση δεδομένων του μητρώου δημόσιων ιστότοπων και εφαρμογών. Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από την βάση εφόσον είχαμε ήδη επιβεβαίωση την αδυναμία στην ασφάλεια της ιστοσελίδας», αναφέρουν χαρακτηριστικά οι ερευνητές.

 

Παραθέτουμε ένα screenshoot από την βάση δεδομένων.

Παρατηρούμε ότι στα tables εμπεριέχονται ευαίσθητα δεδομένα χρηστών όπως ονόματα και κωδικοί πρόσβασης.

με περιεχόμενα όπως:

 

Οι ακριβείς πληροφορίες αλλά και η αδυναμία που χρησιμοποιήσαν οι ερευνητές παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από το SecNews. Δεν κοινοποιούμε το ακριβές της αδυναμίας ώστε να μην τύχει εκμετάλλευσης από κακόβουλους χρήστες ή επιτιθέμενους hackers τρίτων χωρών.

Η ενημέρωση για ευπάθειες που ανακαλύπτονται σε οργανισμούς, θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας και εμπεριέχουν ευαίσθητα δεδομένα χρηστών), και για εμάς στο SecNews αποτελούν άμεση προτεραιότητα.

Ευελπιστούμε ότι με αυτό τον τρόπο, δηλαδή την άμεση έκθεση της κάθε ευπάθειας και όχι με το “κουκούλωμά” της, συμβάλουμε για ένα πιο ασφαλές διαδίκτυο.

Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης
Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης

Μητρώο Δημοσίων Ιστότοπων & Εφαρμογών

Το Μητρώο Δημοσίων Ιστότοπων και Εφαρμογών ανήκει στο Υπουργείο Ψηφιακής Διακυβέρνησης, διαθέτει 585 καταχωρισμένους ιστότοπους και 36 καταχωριμένες εφαρμογές.

Σύμφωνα με σχετικό νόμο προβλέπεται η τήρηση «Μητρώου Δημόσιων Ιστότοπων και Εφαρμογών» (ΜΗ.Δ.ΙΣ.ΕΦ.), όπου εντάσσονται υποχρεωτικά όλοι οι διαδικτυακοί τόποι και οι εφαρμογές για φορητές συσκευές των φορέων του δημοσίου που συμμορφώνονται με τις εκ του νόμου απαιτήσεις προσβασιμότητας. Το (ΜΗ.Δ.ΙΣ.ΕΦ.) τηρείται στο Τμήμα Προσβασιμότητας και Κοινωνικών Υποθέσεων, της Διεύθυνσης Ψηφιακής Στρατηγικής, της Γενικής Διεύθυνσης Ψηφιακής Διακυβέρνησης, του Υπουργείου Ψηφιακής Διακυβέρνησης

Το ΜΗ.Δ.ΙΣ.ΕΦ. κατέχει σημαντικό ρόλο στη συμμόρφωση με το ενωσιακό και εθνικό δίκαιο. Επίσης, συμβάλλει στην εκπλήρωση της υποχρέωσης για την εμπέδωση του μηχανισμού που θα διευκολύνει την επικοινωνία των πολιτών με τους φορείς του δημοσίου τομέα αναφορικά με ζητήματα προσβασιμότητας των ιστότοπων και των εφαρμογών για φορητές συσκευές και την ανάληψη των κατάλληλων ενεργειών από τους φορείς του δημοσίου τομέα εντός συγκεκριμένης προθεσμίας.

Πληροφορίες: https://mhdisef.mindigital.gr/index.php

Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης
Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης

SQL injection επίθεση

Η SQL injection είναι μια code injection τεχνική, η οποία επιτρέπει στον επιτιθέμενο να “τρέξει” εντολές SQL ενάντια σε ένα server – στόχο. Μια επιτυχημένη SQL injection επίθεση επιτρέπει την εκτέλεση οποιουδήποτε query πάνω στην βάση δεδομένων-στόχο, το οποίο σημαίνει και δυνατότητα συλλογής σημαντικών πληροφοριών, όπως κωδικούς πρόσβασης, ονόματα χρηστών, emails, αριθμούς πιστωτικών καρτών κ.ά.

Οι επιθέσεις αυτές εκμεταλλεύονται ευπάθειες που υπάρχουν σε web εφαρμογές, οι οποίες επικοινωνούν με διακομιστές backend, όπου αποθηκεύονται βάσεις δεδομένων. Η συντομογραφία SQL προέρχεται από τις λέξεις Structured Query Language (Δομημένη Γλώσσα Διατύπωσης Ερωτημάτων). Πρόκειται για μια γλώσσα προγραμματισμού που χρησιμοποιείται για την προσθήκη, τον χειρισμό και την ανάκτηση δεδομένων σε μια βάση δεδομένων SQL. Οι επιτιθέμενοι μπορούν να ανακαλύψουν εύκολα, με μερικές απλές εντολές, αν μια σελίδα είναι ευάλωτη σε SQL injection ευπάθεια. Αν είναι, τότε θα είναι σε θέση να κλέψουν δεδομένα, να τα καταστρέψουν, ακόμα και να γίνουν διαχειριστές του database server.

Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης

Μέτρα πρόληψης

  • Το βασικότερο, ίσως, μέτρο πρόληψης είναι ο σωστός σχεδιασμός, η καλή κατασκευή και η συνεχής επίβλεψη της βάσης δεδομένων, ώστε να μην είναι ευάλωτη στη συγκεκριμένη επίθεση.
  • Περιορισμός των στοιχείων παραμετροποίησης του server: Αν περιοριστεί η πρόσβαση σε λάθος παραμέτρους, μπορεί να μειωθεί η πιθανότητα επίθεσης στο server-στόχο. Αν και δεν προσφέρει 100% ασφάλεια, αποτελεί ένα πρώτο βήμα ασφάλειας γύρω από τις βάσεις δεδομένων.
  • Καλή γνώση όλων των SQL Servers του δικτύου από τους διαχειριστές: Αρχικά, οι διαχειριστές θα πρέπει να ξέρουν πόσοι SQL servers υπάρχουν στο δίκτυο. Αυτή η διαδικασία μπορεί να μην είναι τόσο απλή όσο φαίνεται, καθώς η πλειοψηφία των servers λειτουργούν σε δυναμικά TCP ports και συνήθως οι servers αυτοί λειτουργούν μόνο όταν ο χρήστης τους “χρειάζεται”. Επομένως, κάποιοι servers μπορεί να μην είναι ενεργοί. Για να βρεθεί το σύνολο των SQL Servers θα μπορούσαν να χρησιμοποιηθούν τα SQL ping, SQL scan και πιο εξειδικευμένα λογισμικά.
  • Συνεχείς ενημερώσεις. Οι εταιρείες λογισμικών κυκλοφορούν συχνά updates για να διορθώσουν πιθανές ευπάθειες. Επομένως, οι οργανισμοί πρέπει να φροντίζουν να ενημερώνουν τις εφαρμογές, τα λογισμικά και γενικά τα συστήματα που χρησιμοποιούν, για να παραμείνουν ασφαλείς.
  • Ενεργοποίηση και παραμετροποίηση Web application firewall.
  • Απαγόρευση της πρόσβασης σε συγκεκριμένα ports των servers από άγνωστους χρήστες: Δεν προσφέρει την απόλυτη ασφάλεια, ειδικά σε SQL injection επιθέσεις, αλλά είναι ένα σημαντικό μέτρο ασφαλείας για όλο το δίκτυο μιας εταιρείας ή οργανισμού. Για παράδειγμα, το κλείσιμο του UDP Port 1434 [το port αυτό χρησιμοποιείται για χαρτογράφηση των SQL βάσεων δεδομένων της Microsoft (Microsoft SQL monitor database)] και όλων των TCP ports στα οποία “ακούει” ο SQL Server, μπορεί να ενισχύσει την ασφάλεια.
  • Υιοθέτηση ισχυρών admin-passwords. Η χρήση ενός ισχυρού κωδικού πρόσβασης μπορεί να αποτρέψει brute force, SQL injection και πολλές άλλες επιθέσεις. Επίσης, προτείνεται η συχνή αλλαγή τους.