Kενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης

Εντοπίστηκε κρίσιμο κενό

ασφαλείας

στην ιστοσελίδα του Μητρώου Δημοσίων Ιστότοπων και Εφαρμογών που ανήκει στο Υπουργείο Ψηφιακής Διακυβέρνησης και διαθέτει 585 καταχωρισμένους ιστότοπους και 36 καταχωρημένες



εφαρμογές

.

Δύο Έλληνες ερευνητές ο Δημήτρης Χατζηδημήτρης και ο Αναστάσης Βασιλειάδης κατάφεραν να εντοπίσουν ένα κενό

ασφαλείας

σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης, και πιο συγκεκριμένα στο Μητρώο Δημόσιων Ιστότοπων και Εφαρμογών

κάτι που τους επέτρεψε να πραγματοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση σε τμήμα της βάσης δεδομένων του οργανισμού.

Περισσότερα Νέα

:

Cybersecurity

analysis: Αποτελέσματα έρευνας για την



κυβερνοεπίθεση

στην Κύπρο

Σύμφωνα με τους Έλληνες ερευνητές, ο οργανισμός ειδοποιήθηκε έγκαιρα για το κενό

ασφαλείας

, αλλά μέχρι σήμερα, δεν έχει προβεί σε κάποια επιδιόρθωση.

Η



ευπάθεια

είναι τύπου SQL injection και η συγκεκριμένη αδυναμία:

• Parameter: orgID (GET)
• Type: time-based blind
• Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

«Η συγκεκριμένη



ευπάθεια

μας έδωσε πρόσβαση στην βάση δεδομένων του μητρώου δημόσιων ιστότοπων και εφαρμογών. Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από την βάση εφόσον είχαμε ήδη επιβεβαίωση την αδυναμία στην

ασφάλεια

της ιστοσελίδας», αναφέρουν



χαρακτηριστικά

οι ερευνητές.

Παραθέτουμε ένα screenshoot από την βάση δεδομένων.

Παρατηρούμε ότι στα tables εμπεριέχονται ευαίσθητα





δεδομένα

χρηστών όπως ονόματα και



κωδικοί πρόσβασης

.

με περιεχόμενα όπως:

Οι ακριβείς



πληροφορίες

αλλά και η αδυναμία που χρησιμοποιήσαν οι ερευνητές παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από το SecNews. Δεν κοινοποιούμε το ακριβές της αδυναμίας ώστε να μην τύχει εκμετάλλευσης από κακόβουλους



χρήστες

ή επιτιθέμενους

hackers

τρίτων χωρών.

Περισσότερα Νέα:

Grace CPU Ο πρώτος



data center

ARM-based

επεξεργαστής

της NVIDIA

Η



ενημέρωση

για



ευπάθειες

που ανακαλύπτονται σε οργανισμούς, θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας και εμπεριέχουν ευαίσθητα





δεδομένα

χρηστών), και για εμάς στο SecNews αποτελούν άμεση προτεραιότητα.

Ευελπιστούμε ότι με αυτό τον τρόπο, δηλαδή την άμεση έκθεση της κάθε ευπάθειας και όχι με το “κουκούλωμά” της, συμβάλουμε για ένα πιο ασφαλές



διαδίκτυο

.

Μητρώο Δημοσίων Ιστότοπων & Εφαρμογών

Το Μητρώο Δημοσίων Ιστότοπων και Εφαρμογών ανήκει στο Υπουργείο Ψηφιακής Διακυβέρνησης, διαθέτει 585 καταχωρισμένους ιστότοπους και 36 καταχωριμένες



εφαρμογές

.

Σύμφωνα με σχετικό νόμο προβλέπεται η τήρηση «Μητρώου Δημόσιων Ιστότοπων και Εφαρμογών» (ΜΗ.Δ.ΙΣ.ΕΦ.), όπου εντάσσονται υποχρεωτικά όλοι οι διαδικτυακοί τόποι και οι



εφαρμογές

για φορητές



συσκευές

των φορέων του δημοσίου που συμμορφώνονται με τις εκ του νόμου απαιτήσεις προσβασιμότητας. Το (ΜΗ.Δ.ΙΣ.ΕΦ.) τηρείται στο Τμήμα Προσβασιμότητας και Κοινωνικών Υποθέσεων, της Διεύθυνσης Ψηφιακής Στρατηγικής, της Γενικής Διεύθυνσης Ψηφιακής Διακυβέρνησης, του Υπουργείου Ψηφιακής Διακυβέρνησης

Το ΜΗ.Δ.ΙΣ.ΕΦ. κατέχει σημαντικό ρόλο στη συμμόρφωση με το ενωσιακό και εθνικό δίκαιο. Επίσης, συμβάλλει στην εκπλήρωση της υποχρέωσης για την εμπέδωση του μηχανισμού που θα διευκολύνει την



επικοινωνία

των πολιτών με τους φορείς του δημοσίου τομέα αναφορικά με ζητήματα προσβασιμότητας των ιστότοπων και των εφαρμογών για φορητές



συσκευές

και την ανάληψη των κατάλληλων ενεργειών από τους φορείς του δημοσίου τομέα εντός συγκεκριμένης προθεσμίας.

Πληροφορίες

:


https://mhdisef.mindigital.gr/index.php

SQL injection



επίθεση

Η SQL injection είναι μια code injection τεχνική, η οποία επιτρέπει στον επιτιθέμενο να “τρέξει” εντολές SQL ενάντια σε ένα server – στόχο. Μια επιτυχημένη SQL injection



επίθεση

επιτρέπει την εκτέλεση οποιουδήποτε query πάνω στην βάση δεδομένων-στόχο, το οποίο σημαίνει και δυνατότητα συλλογής σημαντικών πληροφοριών, όπως κωδικούς πρόσβασης, ονόματα χρηστών, emails, αριθμούς πιστωτικών καρτών κ.ά.

Οι



επιθέσεις

αυτές εκμεταλλεύονται



ευπάθειες

που υπάρχουν σε web



εφαρμογές

, οι οποίες επικοινωνούν με διακομιστές backend, όπου αποθηκεύονται βάσεις δεδομένων. Η συντομογραφία SQL προέρχεται από τις λέξεις Structured Query Language (Δομημένη Γλώσσα Διατύπωσης Ερωτημάτων). Πρόκειται για μια



γλώσσα προγραμματισμού

που χρησιμοποιείται για την προσθήκη, τον χειρισμό και την ανάκτηση δεδομένων σε μια βάση δεδομένων SQL. Οι επιτιθέμενοι μπορούν να ανακαλύψουν εύκολα, με μερικές απλές εντολές, αν μια σελίδα είναι ευάλωτη σε SQL injection



ευπάθεια

. Αν είναι, τότε θα είναι σε θέση να κλέψουν



δεδομένα

, να τα καταστρέψουν, ακόμα και να γίνουν διαχειριστές του database server.

Περισσότερα Νέα:






Ευπάθειες

θέτουν σε κίνδυνο εκατομμύρια IoT



συσκευές

-Ενημερώστε άμεσα!

Μέτρα πρόληψης

• Το βασικότερο, ίσως, μέτρο πρόληψης είναι ο σωστός σχεδιασμός, η καλή κατασκευή και η συνεχής επίβλεψη της βάσης δεδομένων, ώστε να μην είναι ευάλωτη στη συγκεκριμένη
  
  
  
  επίθεση
  
  .
• Περιορισμός των στοιχείων παραμετροποίησης του server: Αν περιοριστεί η πρόσβαση σε λάθος παραμέτρους, μπορεί να μειωθεί η πιθανότητα επίθεσης στο server-στόχο. Αν και δεν προσφέρει 100%
  
  ασφάλεια
  
  , αποτελεί ένα πρώτο βήμα ασφάλειας γύρω από τις βάσεις δεδομένων.
• Καλή γνώση όλων των SQL
  
  Servers
  
  του δικτύου από τους διαχειριστές: Αρχικά, οι διαχειριστές θα πρέπει να ξέρουν πόσοι SQL
  
  servers
  
  υπάρχουν στο δίκτυο. Αυτή η διαδικασία μπορεί να μην είναι τόσο απλή όσο φαίνεται, καθώς η πλειοψηφία των
  
  servers
  
  λειτουργούν σε δυναμικά TCP ports και συνήθως οι
  
  servers
  
  αυτοί λειτουργούν μόνο όταν ο χρήστης τους “χρειάζεται”. Επομένως, κάποιοι
  
  servers
  
  μπορεί να μην είναι ενεργοί. Για να βρεθεί το σύνολο των SQL
  
  Servers
  
  θα μπορούσαν να χρησιμοποιηθούν τα SQL ping, SQL scan και πιο εξειδικευμένα λογισμικά.
• Συνεχείς
  
  
  
  ενημερώσεις
  
  . Οι
  
  
  
  εταιρείες
  
  λογισμικών κυκλοφορούν συχνά
  
  updates
  
  για να διορθώσουν πιθανές
  
  
  
  ευπάθειες
  
  . Επομένως, οι
  
  
  
  οργανισμοί
  
  πρέπει να φροντίζουν να ενημερώνουν τις
  
  
  
  εφαρμογές
  
  , τα λογισμικά και γενικά τα
  
  συστήματα
  
  που χρησιμοποιούν, για να παραμείνουν ασφαλείς.
• Ενεργοποίηση και παραμετροποίηση Web application firewall.
• Απαγόρευση της πρόσβασης σε συγκεκριμένα ports των
  
  servers
  
  από άγνωστους
  
  
  
  χρήστες
  
  : Δεν προσφέρει την απόλυτη
  
  ασφάλεια
  
  , ειδικά σε SQL injection
  
  
  
  επιθέσεις
  
  , αλλά είναι ένα σημαντικό μέτρο
  
  ασφαλείας
  
  για όλο το δίκτυο μιας εταιρείας ή οργανισμού. Για παράδειγμα, το κλείσιμο του UDP Port 1434 [το port αυτό χρησιμοποιείται για χαρτογράφηση των SQL βάσεων δεδομένων της
  
  Microsoft
  
  (
  
  Microsoft
  
  SQL
  
  monitor
  
  database)] και όλων των TCP ports στα οποία “ακούει” ο SQL Server, μπορεί να ενισχύσει την
  
  ασφάλεια
  
  .
• Υιοθέτηση ισχυρών admin-
  
  passwords
  
  . Η
  
  χρήση
  
  ενός ισχυρού κωδικού πρόσβασης μπορεί να αποτρέψει brute force, SQL injection και πολλές άλλες
  
  
  
  επιθέσεις
  
  . Επίσης, προτείνεται η συχνή αλλαγή τους.