Todos os posts tagados sql injection

SQL Injection no Drupal 7

drupal

Ontem a empresa SektionEins publicou um boletim de segurança que divulga uma falha SQL Injection no Drupal (versões >= 7.0 <= 7.31). Rapidamente a equipa de segurança do Drupal categorizou esta vulnerabilidade como Altamente Crítica e preparou-se prontamente para lançar uma correção – já disponível na versão 7.32.

Leia-se no site oficial do Drupal:

Posted by Drupal Security Team on October 15, 2014 at 4:02pm
Advisory ID: DRUPAL-SA-CORE-2014-005
Version: 7.x
Date: 2014-Oct-15
Security risk: 20/25 ( Highly Critical) AC:Basic/A:None/CI:All/II:All/E:Theoretical/TD:All
Vulnerability: SQL Injection

Resumidamente, a empresa SektionEins conseguiu ultrapassar a proteção do Drupal nas consultas SQL:

SELECT * FROM {users} WHERE name IN (:name_0, :name_1)

Manipulado o parametro para:

SELECT * FROM {users} WHERE name IN (:name_test) OR name = ‘Admin’ — , :name_test)

Claro que esta manipulação não fica pelas consultas (leia-se SELECT) mas também é aplicado às inserções e atualizações (INSERT e UPDATE).

Devido à facilidade de utilizar este exploit e aos requisitos (é remoto e não é necessário autenticação), rapidamente começaram a surgir exploits e ferramentas para explorar versões vulneráveis do Drupal. No Pastebin é já possível encontrar exploits que basta inserir o URL com a versão vulnerável do Drupal e explora adicionando um novo administrador.
Deve ser apenas uma questão de tempo para que os exploit kits dos utilizadores maliciosos serem atualizados com esta falha SQL Injection. Assim, duma forma totalmente automática, diversos sites podem ser comprometidos em curto espaço de tempo.

Concluíndo, é URGENTE a atualização do Drupal.

Sudoh4k3rs divulgam dados da Câmara de Coimbra

Sudoh4k3rs divulgam dados da Câmara de Coimbra

Segundo informação divulgada na página de Facebook dos Sudoh4k3rs, estes obtiveram acesso via SQL Injection ao site da Câmara Municipal de Coimbra. Neste leak publicado no Pastebin constam nomes, passwords e emails de utilizadores presentes na base de dados do site.

O ataque informático foi realizado utilizando a ferramenta automática sql-map, que permite de uma forma simples testar falhas SQL Injection e obter informação remotamente sem dificuldade. Não é necessário grande conhecimento técnico para utilizar o sql-map.

Durante a publicação deste artigo, membros de outros grupos relacionados com os Anonymous Portugal comprometeram e divulgaram informação confidencial de outras câmaras municipais, como a Câmara Municipal de Portalegre e a Câmara Municipal de Estremoz.

Site Empregar do Governo da Madeira comprometido

Site Empregar do Governo da Madeira comprometido

Este site governamental – http://empregar.ire.gov.pt aloja, segundo a informação presente no site, cerca 9090 currículos que podem ter sido adquiridos por utilizadores maliciosos. Esta informação pode ser utilizada em roubos de identidade ou para outros esquemas relacionados com falsas ofertas de emprego.

Não sabendo qual foi a porta de entrada posso especular, baseado nos últimos ataques deste defacer de origem turca, que foi provavelmente uma falha no servidor web ou SQL Injection.

Em janeiro deste ano, este grupo esteve envolvido em ataques massivos a sites governamentais de Israel. Foram ataques politico-sociais pro-palestina.

O defacer 3xroot criou e deixou no site empregar.ire.gov.pt a seguinte mensagem num ficheiro texto (3xroot.txt):

0wn3r by 3xroot T.C.A Group

O site está alojado na PT Prime, corre o Windows Server 2003 com o Apache 2.2.2 e PHP 5.1.4. Informação esta disponibilizada pela toolbar do Netcraft.

Espelho do deface pode ser consultado aqui.

Tentei contatar os responsáveis pelo site via email mas sem sucesso.

Yahoo Voice comprometido. Veja se a sua conta está em risco.

Yahoo Voice comprometido. Veja se a sua conta está em risco.

Com o ataque ao Yahoo Voice, mais de 400.000 dados de utilizador foram publicados na web.

Segundo a última informação, o método para obter esta informação foi via SQL Injection e que as palavras passe estavam… guess what? Plaintext.
Incrível que nos tempos que correm, e na empresa em questão, ainda armazenam dados confidenciais sem encriptação.

A Sucuri publicou um resumo do ficheiro com os dados de acesso de 453.411 disponivel na web onde são visiveis 342.481 passwords únicas.
Como o Yahoo Voice permite registo com outras contas de email, no top dos dominios dos emails comprometidos estão:

135.599 yahoo.com
106.185 gmail.com
543.93 hotmail.com
24.677 aol.com
8.422 comcast.net
6.282 msn.com

Quanto ao Top10 das passwords mais utilizadas no ficheiro temos:

[número de ocorrências] [password]
1666 123456
780 password
437 welcome
333 ninja
250 abc123
222 123456789
208 12345678
205 sunshine
202 princess
172 qwerty

Como em ataques anterioes, as passwords dominantes continuam a ser faceis de efectuar ataques brute-force e são demasiados fracas em segurança.

A Sucuri também disponibilizou um serviço online para consultar se um email foi comprometido. Pode ser consultado aqui.

TeaMp0isoN publica lista de sites policiais vulneráveis a SQL Injection

O grupo TeaMp0isoN publicou uma lista de sites de autoridades policiais que podem ser comprometidos utilizando SQL Injection. Segundo comunicado de um dos membros do grupo no Pastebin, esta publicação tem como objectivo o protesto contra a agressão das entidades policiais a manifestantes.