深入探讨：近距离接触MoveIT未修补漏洞

软件供应链网络攻击变得越来越普遍，引发了美国政府层面的一系列立法变革，而企业则争先恐后地缓解其庞大的风险状况并迅速提高软件质量。仅在今年，就有三个与文件共享服务相关的未修补漏洞，其中最大和最具破坏性的漏洞以MoveIT大规模漏洞的形式出现。

由CL0P勒索软件组织牵头的MoveIT事件在网络安全新闻中占据主导地位已有一段时间，有1,000多个组织受到影响。这个数字将继续增长，这是自2021年Solarwinds以来最强大的软件供应链攻击之一。

此次大规模漏洞的催化剂是一组 SQL 注入漏洞，最终的严重性分数为 MITRE 的 10 分中有 9.8 分。自90年代末以来，SQL注入一直是安全专业人员的麻烦，尽管修复方法相当简单，但它仍在继续进入现代软件，并为威胁参与者提供敏感数据的红地毯。

MoveIT 场景与许多开发人员和 AppSec 专业人员以前可能经历的情景略有不同，你可以在这里的实时模拟中测试你的 SQLI-slaying 技能：

>>> 玩 MoveIT 任务

漏洞：SQL 注入

究竟是如何使用SQL注入来利用Progress Software的MoveIT文件传输应用程序的？

CL0P 勒索软件组织得以利用 SQL 注入漏洞 CVE-2023-34362，允许他们不受限制和未经授权地访问 MoveIT 的数据库。从那以后，他们得以安装LEMURLOOT，这是一个网络外壳，最终允许他们运行多个高风险的关键流程，例如检索系统设置、枚举 SQL 数据库、从 MoveIT Transfer 系统检索文件以及创建具有完全管理权限的新帐户。

毋庸置疑，这种攻击载体可能是相对简单的错误造成的——这个错误可以归结为长期使用不良的编码模式——但它在企业层面造成持续问题的可能性是巨大的。

与 MoveIt 漏洞相比，让我们来看看这个 SQLi 解释器，它模拟了注入和执行恶意 SQL 的方法：
‍

这个查询字符串和变量：
‍

字符串电子邮件地址 =”contact@scw.com“;

var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;

将导致以下查询：
‍

var query = $ “从用户那里选择 u.Username 作为 u 其中 u.email = 'contact@scw.com'”;
‍

... 还有恶意制作的输入：
‍

string emailAddress = "contact@scw.com '；从 ID = 2 的发票中删除；--”;

var query = $ “从用户中选择 u.username 作为 u WHERE u.email = '{emailAddress}'”;
‍

它将变成：
‍

var query = $ “从用户中选择 u.username 作为 u 其中 uwhere u.email = 'contact@scw.com'；在 ID = 2 时从发票中删除；--'”;
‍

在飞行中看起来怎么样？

请注意，由于字符串串联，输入被解释为 SQL 语法。首先，添加单引号以确保 SELECT 语句是有效的 SQL 语法。接下来，添加分号以终止第一条语句。

一旦设置完毕，将添加一个有效的 DELETE 语句，然后添加两个连字符以注释掉所有尾随字符（单引号）。例如，如果恶意 SQL 要更新用户的角色或密码，也可以很容易地添加 UPDATE 语句。
‍

在这个可玩的任务中亲自尝试一下：
‍

>>> 玩 MoveIT 任务
‍

虽然相对简单，但 SQLi 仍然是一个强大的攻击载体，而且非常常见。就MoveIT而言，此漏洞为破坏性的后门安装以及一系列严重程度相似的进一步攻击铺平了道路。

如何减轻 SQL 注入风险？

对于任何将MoveIT用作业务运营一部分的公司，都必须遵循以下建议的补救建议 进度软件。这包括但不限于将安全补丁作为紧急级别的优先事项。

对于一般的 SQL 注入，请查看我们的 综合指南。

想更多地了解如何编写安全代码和降低风险吗？试试我们的 免费的 SQL 注入挑战赛。

如果你有兴趣获得更多免费编程指南，请查看 安全代码教练 帮助您掌握安全编码最佳实践。