Сайты NASA подверглись хакерской атаке

Появилось сообщение о том, что сайты www.istd.gsfc.nasa.gov и www.sed.gsfc.nasa.gov подверглись хакерской атаке (в настоящее время оба сайта не ресолвятся). Инцидент начался с того, что на сайте www.sed.gsfc.nasa.gov была обнаружена классическая SQL-инъекция:


Как можно понять по приведенному выше скриншоту в качестве базы данных используется MySQL v.5.x, которая запущена под Windows 2/3k. Права пользователя, по всей видимости, не позволяют работать с файловой системой, но классическая инъекция под 5-м мускулем – это всегда очень приятно:) т.к. позволяет легко и просто восстановить всю структуру базы и после, не спеша, дампить содержимое всех таблиц в пространстве СУБД, до которых позволяют дотянуться права на основе таблицы разграничения доступа.


Другая приятная неожиданность для атакующего сайтов NASA заключалась в том, что оба сайта для аутентификации администраторов Web-приложений используют одну таблицу "istd.access", доступ к которой (как минимум на чтение) существовал у пользователя "istdUser@pows002.gsfc.nasa.gov":



Так, атакующий, получив содержимое указанной таблицы, моментально сумел восстановить используемые пароли администраторов сайтов:


Я удивился, что не увидел среди паролей комбинацию "123456":)

Далее – банально, авторизация под пользователем "cdutan" и доступ к админке на www.istd.gsfc.nasa.gov:




Детали инцидента можно найти по следующим ссылкам:
- http://tinkode.baywords.com/
- http://news.softpedia.com/

10 комментариев :

  1. Ты забыл, что 123456 - это популярный русский пароль. А буржуи больше слова любят)

    ОтветитьУдалить
  2. кстати, продолжение истории. атакующий зацепил еще и третий сайт - saif-1.larc.nasa.gov через blind SQL Injection, а там, между прочим, права получше будут - root@localhost :-) учитывая права пользователя и то, что база также под виндой, можно предположить, что мускуль работает с правами системы.... а это уже "более чем" при развитии атаки....

    ОтветитьУдалить
  3. Неинтересно, т.к. тема доказательсва факта существования пришельцев не раскрыта...
    ( :

    ОтветитьУдалить
  4. Интервью с TinKode можно прочитать в нашем блоге.

    http://de-securitate.blogspot.com/

    Кстати, Дмитрий, мы бы с радостью взяли бы у вас интервью. Да, блог новый, конечно не популярный и к этому в принципе нет стремления на данный момент. Но это всё дело наживное со временем. У вас как у специалиста было бы интересно взять интервью. Что вы на это скажете?:)

    ОтветитьУдалить
  5. Кстати новая новость в тему:)
    http://tinkode.baywords.com/index.php/2009/12/nasa-vulnerable-to-mssql-injection/

    ОтветитьУдалить
  6. >> Кстати новая новость в тему:)
    NASA под прицелом:)

    >> Кстати, Дмитрий, мы бы с радостью взяли бы у вас интервью.
    я не против;) devteev@ptsecurity.ru

    ОтветитьУдалить
  7. Спасибо:) Я тогда поинтересуюсь у народа о вопросах, составлю вопросник и возможно уже к ночи вышлю;)

    Насчёт Nasa, да нет, не под прицелом)

    ОтветитьУдалить