ExxonMobil Full Disclosure

На сайте в домене exxonmobil.com, исследователем под псевдонимом aXceSS, была обнаружена уязвимость типа "Внедрение операторов SQL". Владельцем домена exxonmobil.com является компания Exxon Mobil (крупнейшая в мире нефтегазовая компания), которая занимается разведкой и добычей нефти и газа, производством нефтепродуктов, а также транспортировкой и продажей сырой нефти, природного газа и нефтепродуктов. Компания является крупнейшим производителем и поставщиком нефтехимической продукции. Тот факт, что компания в данной отрасли имеет недостатки в процессе обеспечения безопасности Web-приложений, лично у меня, не вызывает никаких удивлений :)

Исследователь обнаружил на сайте portsandservices.exxonmobil.com уязвимость класса "Слепое внедрение операторов SQL" (blind SQL Injection) и проэксплуатировал ее самым простым и быстрым методом (error-based SQL Injection):



@@version:
Microsoft SQL Server 2000 - 8.00.2055 (Intel X86)
Dec 16 2008 19:46:53
Copyright (c) 1988-2003 Microsoft Corporation
Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

Нужно сказать, что атакующему с правами не повезло (не админ). С другой стороны, СУБД Microsoft SQL Server позволяет разделить два несвязанных SQL-запроса (например, SELECT и INSERT/UPDATE), что могло использоваться для распространения мальвари.

Стоит лишь добавить, что в настоящее время сайт просто "кишит" различными уязвимостями и немного потыкавшись по нему, можно найти вполне себе удобный SQL Query Manager :)


Примечательно, что Exxon Mobil Corporation обслуживает небезызвестная всем компания аудитор PricewaterhouseCoopers (по информации с wikipedia)...

Подробности инцидента по этой ссылке.

Комментариев нет :

Отправка комментария