Que Tengas una Feliz Pequeña Vulnerabilidad
Los ataques de inyección SQL contra aplicaciones están en aumento, siendo las grandes empresas y corporaciones globales el principal objetivo. Como hemos visto una y otra vez, incluso el software de proveedores confiables puede tener vulnerabilidades que permiten a usuarios malintencionados comprometer la seguridad de una aplicación. Aquí hay otro ejemplo.
El final de 2016 estuvo marcado por el descubrimiento de una nueva vulnerabilidad de GitHub Enterprise. GitHub.com es un servicio de alojamiento basado en web que utiliza Git, un sistema de control de versiones distribuido de código abierto. GitHub Enterprise es la versión local de GitHub empaquetada para funcionar en la red local de una organización. La vulnerabilidad encontrada permitía a los usuarios malintencionados inyectar comandos SQL en declaraciones SQL a través del envío de una solicitud específica.
GitHub Enterprise se entrega como un electrodoméstico virtual con licencias de prueba gratuita de 45 días disponibles. Comparte una base de código con GitHub.com. El código fuente se mantiene privado y durante la instalación se recupera en modo transparente. Después de desofuscar el código, el investigador descubrió que el código estaba escrito principalmente en Ruby, utilizando componentes de Python, C++, Bourne Shell y Java. Después de acceder al código, solo le llevó cuatro días analizar posibles problemas y encontrar una vulnerabilidad de Inyección SQL en el modelo PreReceiveHookTarget de GitHub Enterprise. La carga útil maliciosa podría inyectarse en el parámetro de ordenación al enviar una consulta para acceder a la API.
$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????
&sort=id,(select+1+from+information_schema.tables+limit+1,1)'
$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????
&sort=id,(select+1+from+mysql.user+limit+1,1)'
{
"message": "Server Error",
"documentation_url": "https://developer.github.com/enterprise/2.8/v3/orgs/pre_receive_hooks"
}
$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????
&sort=id,if(user()="github@localhost",sleep(5),user()) GitHub fue informado sobre la vulnerabilidad en diciembre y solucionó el problema en la versión 2.8.5 de GitHub Enterprise. El investigador que detectó el error recibió una recompensa de $ 5,000. El programa de recompensas por errores de GitHub se lanzó hace tres años. Durante este tiempo, más de 100 investigadores de seguridad de software han sido recompensados y se han pagado más de $ 100,000 para elogiar sus esfuerzos.
La inyección SQL es la vulnerabilidad de aplicación más peligrosa y más comúnmente explotada. Por lo tanto, tener las herramientas adecuadas para prevenir este tipo de ataques es crucial. DataSunrise monitorea y analiza constantemente las consultas SQL para prevenir inyecciones SQL en tiempo real y garantizar la seguridad continua de la base de datos.
