image

Tientallen universiteiten VS via SQL-injection gehackt

donderdag 16 februari 2017, 09:54 door Redactie, 5 reacties

Een groep aanvallers heeft de afgelopen maanden tientallen universiteiten en overheidsinstellingen in de Verenigde Staten en Groot-Brittannië via SQL-injection gehackt. Volgens beveiligingsbedrijf Recorded Future gaat het bij elkaar om meer dan 60 organisaties die het slachtoffer werden.

SQL-injection is een probleem dat al sinds de vorige eeuw bekend is, maar nog steeds bij veel websites wordt aangetroffen omdat webdevelopers onveilig programmeren en organisaties hun websites niet laten testen. Via SQL-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen.

De aanvallers waar Recorded Future voor waarschuwt zouden financiële motieven voor hun aanvallen hebben en gebruiken een zelfde ontwikkelde tool om websites op SQL-injection te scannen. Organisaties kunnen zich echter eenvoudig beschermen, aldus het beveiligingsbedrijf. "SQL-injection is eenvoudig door veilig programmeren te voorkomen. Vijftien jaar aan grote datalekken hebben echter niet voorkomen dat overheden, bedrijven en universiteiten slecht geprogrammeerde webapplicaties en software gebruiken. Sommige van de grootste datalekken zoals Yahoo!, LinkedIn, HBGary en Heartland Payment Systems waren het gevolg van SQL-injection", zegt analist Levi Gundert.

Hij verwacht echter geen verbetering op de korte termijn. "Totdat organisaties een prikkel hebben, de wortel of de stok, om interne of code van derde partijen goed te auditen voordat het wordt gebruikt, blijft het probleem in de nabije toekomst bestaan." Gundert pleit dan ook voor het creëren van meer bewustzijn onder webdevelopers en wet- en regelgeving. "Helaas zullen boetes van toezichthouders of financiële verliezen door rechtszaken mogelijk de enige prikkel voor organisaties zijn om code-audits te laten plaatsvinden."

Reacties (5)
16-02-2017, 10:21 door ph-cofi
Het artikel is heel algemeen in bewoordingen, gaat niet over specifieke kwetsbaarheden in specifieke databases. De scantools die worden beschreven ken ik niet en ik vraag me af of de genoemde tools nog meer inzhct geven dan OWASP ZAP met advanced SQL injection plugin? Heeft iemand hier ervaring mee?
Thx
16-02-2017, 11:29 door Anoniem
Door ph-cofi: Het artikel is heel algemeen in bewoordingen, gaat niet over specifieke kwetsbaarheden in specifieke databases. De scantools die worden beschreven ken ik niet en ik vraag me af of de genoemde tools nog meer inzhct geven dan OWASP ZAP met advanced SQL injection plugin? Heeft iemand hier ervaring mee?
Thx

Ik vermoed dat het hier gaat om een script om verschillende bestaande tools aan elkaar te knopen. Denk bijvoorbeeld aan een zmap, gekoppeld met een directory listing tool, gekoppeld aan sqlmap.
16-02-2017, 16:04 door karma4 - Bijgewerkt: 16-02-2017, 16:04
Universiteiten en een lek dat door eenvoudig veilig te programmeren te voorkomen is.
Leren uit ervaring door het verkeerd te doen is kostbaar en tijdrovend. Geeft ook nog weinig algemene vooruitgang.
16-02-2017, 16:25 door Anoniem
Veel BIND onveiligheid, DNS kwesties, http://urlquery.net/report.php?id=1476479229624
Zie verder de integriteit van het IP: https://www.threatminer.org/host.php?q=128.138.129.98

-> http://network.msu.edu/cgi-bin/showhist?sysname=netman2&service=ext-abilene:colorado&dir=external&week=0&brief=1

En hoe dit aansluit op dit verhaal: http://blog.malwaremustdie.org/2013/05/a-story-of-spambot-trojan-via-fake.html
en BIND issues: http://blog.malwaremustdie.org/2013/05/a-story-of-spambot-trojan-via-fake.html

Geen echt goede veilige infrastructuur: https://observatory.mozilla.org/analyze.html?host=www.colorado.edu
Best geillustreerd door dit DROWn exploitability van de naamserver: https://test.drownattack.com/?site=boulder.colorado.edu (DROWn scanner is niet langer meer toegankelijk online).

http://toolbar.netcraft.com/site_report?url=www.colorado.edu%2Falumni%2Fsites%2Fdefault%2Ffiles%2Fwebform%2Fuimbldon-suindon-match-1746475-20-15-10-2016.html
Re: HTTP only cookies: Waarschuwing.

En dit is er een uit de vele reeks van voorbeelden. Info credfits: polonus, oktober vorig jaar.
17-02-2017, 11:41 door Anoniem
Afgezien van betere code kun je een database firewall gebruiken, Oracle heeft zo'n ding bijvoorbeeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.