Inmersión profunda: Conozca de cerca y de manera personal la vulnerabilidad de día cero de MOVEit
Los ciberataques a la cadena de suministro de software son cada vez más comunes, lo que ha provocado una serie de cambios legislativos a nivel gubernamental de EE. UU., mientras las empresas se esfuerzan por mitigar su amplio perfil de riesgo y mejorar rápidamente la calidad del software. Solo este año se han registrado tres vulnerabilidades de día cero relacionadas con los servicios de intercambio de archivos, y la mayor y más destructiva es la del exploit masivo de MOVEit.
Encabezado por el grupo de ransomware CL0P, el incidente MOVEit ha dominado las noticias sobre ciberseguridad durante algún tiempo, con más de 1000 organizaciones afectadas. Se prevé que este número siga creciendo, lo que lo convierte en uno de los ataques a la cadena de suministro de software más potentes desde Solarwinds en 2021.
El catalizador de esta violación generalizada fue un grupo de vulnerabilidades de inyección de SQL que, en última instancia, recibieron una puntuación de gravedad de 9.8 de 10 desde MITRE. La inyección de SQL ha sido el problema de los profesionales de la seguridad desde finales de la década de los 90 y, a pesar de ser una solución bastante sencilla, sigue encontrando su camino en el software moderno y proporcionando una alfombra roja a los datos confidenciales para los actores de amenazas.
El escenario de MOVEit es un poco diferente al que muchos desarrolladores y profesionales de AppSec pueden haber experimentado anteriormente, y puede poner a prueba sus habilidades de destrucción de SQL en una simulación en vivo aquí mismo:
>>> JUEGA A LA MISIÓN MOVEit
La vulnerabilidad: inyección SQL
¿Cómo se usó exactamente la inyección SQL para explotar la aplicación de transferencia de archivos MOVEit de Progress Software?
El grupo de ransomware CL0P pudo aprovechar la vulnerabilidad de inyección de SQL CVE-2023-34362, lo que les permitió acceder sin restricciones y sin autorización a la base de datos de MOVEit. Desde allí, pudieron instalar LEMURLOOT, un shell web que, en última instancia, les permitiría ejecutar varios procesos críticos y de alto riesgo, como la recuperación de la configuración del sistema, la enumeración de la base de datos SQL, la recuperación de archivos del sistema MOVEit Transfer y la creación de una nueva cuenta con todos los privilegios de administración.
No hace falta decir que este vector de ataque puede ser el resultado de un error relativamente simple, que podría atribuirse al uso perpetuo de patrones de codificación deficientes, pero su potencial para causar problemas continuos a nivel empresarial es inmenso.
Al igual que el exploit MOVEit, echemos un vistazo a esta explicación de SQLi, que simula el método de inyección y ejecución de SQL malicioso:
Esta cadena y variable de consulta:
cadena EmailAddress =»contact@scw.com«;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
dará como resultado la siguiente consulta:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'»;
... y con entradas creadas con fines malintencionados:
string emailAddress = "contact@scw.com '; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --»;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
se convertirá en:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --'»;
¿Cómo se ve eso en vuelo?
Tenga en cuenta que, debido a la concatenación de cadenas, la entrada se interpreta como sintaxis SQL. En primer lugar, se añade una comilla simple para asegurarse de que la sentencia SELECT es una sintaxis SQL válida. A continuación, se añade un punto y coma para terminar la primera sentencia.
Una vez que esté en su lugar, se agrega una instrucción DELETE válida, seguida de dos guiones para comentar los caracteres finales (las comillas simples). Una sentencia UPDATE podría añadirse con la misma facilidad, por ejemplo, si el SQL malintencionado tuviera que actualizar las funciones o contraseñas de los usuarios.
Pruébalo tú mismo en esta misión jugable:
Si bien es relativamente sencillo, SQLi sigue siendo un poderoso vector de ataque y muy común. En el caso de MOVEit, este exploit dio paso a una dañina instalación de puerta trasera y a un grupo de ataques adicionales de gravedad similar.
¿Cómo se puede mitigar el riesgo de inyección de SQL?
Para cualquier empresa que utilice MOVEit como parte de sus operaciones comerciales, es imprescindible que siga los consejos de remediación recomendados por Software Progress. Esto incluye, entre otros, la aplicación de parches de seguridad como prioridad de nivel de emergencia.
Para la inyección de SQL en general, consulte nuestra guía completa.
¿Quiere obtener más información sobre cómo escribir código seguro y mitigar los riesgos? Pruebe nuestro Desafío de inyección de SQL gratis.
Si estás interesado en obtener más pautas de codificación gratuitas, consulta Entrenador de código seguro para ayudarlo a mantenerse al tanto de las mejores prácticas de codificación segura.
El escenario de MOVEit es un poco diferente al que muchos desarrolladores y profesionales de AppSec pueden haber experimentado anteriormente, y puede poner a prueba sus habilidades de destrucción de SQL en una simulación en vivo aquí mismo.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Laura Verheyde est développeuse de logiciels à l'adresse Secure Code Warrior . Elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Missions et Coding labs.
Los ciberataques a la cadena de suministro de software son cada vez más comunes, lo que ha provocado una serie de cambios legislativos a nivel gubernamental de EE. UU., mientras las empresas se esfuerzan por mitigar su amplio perfil de riesgo y mejorar rápidamente la calidad del software. Solo este año se han registrado tres vulnerabilidades de día cero relacionadas con los servicios de intercambio de archivos, y la mayor y más destructiva es la del exploit masivo de MOVEit.
Encabezado por el grupo de ransomware CL0P, el incidente MOVEit ha dominado las noticias sobre ciberseguridad durante algún tiempo, con más de 1000 organizaciones afectadas. Se prevé que este número siga creciendo, lo que lo convierte en uno de los ataques a la cadena de suministro de software más potentes desde Solarwinds en 2021.
El catalizador de esta violación generalizada fue un grupo de vulnerabilidades de inyección de SQL que, en última instancia, recibieron una puntuación de gravedad de 9.8 de 10 desde MITRE. La inyección de SQL ha sido el problema de los profesionales de la seguridad desde finales de la década de los 90 y, a pesar de ser una solución bastante sencilla, sigue encontrando su camino en el software moderno y proporcionando una alfombra roja a los datos confidenciales para los actores de amenazas.
El escenario de MOVEit es un poco diferente al que muchos desarrolladores y profesionales de AppSec pueden haber experimentado anteriormente, y puede poner a prueba sus habilidades de destrucción de SQL en una simulación en vivo aquí mismo:
>>> JUEGA A LA MISIÓN MOVEit
La vulnerabilidad: inyección SQL
¿Cómo se usó exactamente la inyección SQL para explotar la aplicación de transferencia de archivos MOVEit de Progress Software?
El grupo de ransomware CL0P pudo aprovechar la vulnerabilidad de inyección de SQL CVE-2023-34362, lo que les permitió acceder sin restricciones y sin autorización a la base de datos de MOVEit. Desde allí, pudieron instalar LEMURLOOT, un shell web que, en última instancia, les permitiría ejecutar varios procesos críticos y de alto riesgo, como la recuperación de la configuración del sistema, la enumeración de la base de datos SQL, la recuperación de archivos del sistema MOVEit Transfer y la creación de una nueva cuenta con todos los privilegios de administración.
No hace falta decir que este vector de ataque puede ser el resultado de un error relativamente simple, que podría atribuirse al uso perpetuo de patrones de codificación deficientes, pero su potencial para causar problemas continuos a nivel empresarial es inmenso.
Al igual que el exploit MOVEit, echemos un vistazo a esta explicación de SQLi, que simula el método de inyección y ejecución de SQL malicioso:
Esta cadena y variable de consulta:
cadena EmailAddress =»contact@scw.com«;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
dará como resultado la siguiente consulta:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'»;
... y con entradas creadas con fines malintencionados:
string emailAddress = "contact@scw.com '; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --»;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
se convertirá en:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --'»;
¿Cómo se ve eso en vuelo?
Tenga en cuenta que, debido a la concatenación de cadenas, la entrada se interpreta como sintaxis SQL. En primer lugar, se añade una comilla simple para asegurarse de que la sentencia SELECT es una sintaxis SQL válida. A continuación, se añade un punto y coma para terminar la primera sentencia.
Una vez que esté en su lugar, se agrega una instrucción DELETE válida, seguida de dos guiones para comentar los caracteres finales (las comillas simples). Una sentencia UPDATE podría añadirse con la misma facilidad, por ejemplo, si el SQL malintencionado tuviera que actualizar las funciones o contraseñas de los usuarios.
Pruébalo tú mismo en esta misión jugable:
Si bien es relativamente sencillo, SQLi sigue siendo un poderoso vector de ataque y muy común. En el caso de MOVEit, este exploit dio paso a una dañina instalación de puerta trasera y a un grupo de ataques adicionales de gravedad similar.
¿Cómo se puede mitigar el riesgo de inyección de SQL?
Para cualquier empresa que utilice MOVEit como parte de sus operaciones comerciales, es imprescindible que siga los consejos de remediación recomendados por Software Progress. Esto incluye, entre otros, la aplicación de parches de seguridad como prioridad de nivel de emergencia.
Para la inyección de SQL en general, consulte nuestra guía completa.
¿Quiere obtener más información sobre cómo escribir código seguro y mitigar los riesgos? Pruebe nuestro Desafío de inyección de SQL gratis.
Si estás interesado en obtener más pautas de codificación gratuitas, consulta Entrenador de código seguro para ayudarlo a mantenerse al tanto de las mejores prácticas de codificación segura.
Los ciberataques a la cadena de suministro de software son cada vez más comunes, lo que ha provocado una serie de cambios legislativos a nivel gubernamental de EE. UU., mientras las empresas se esfuerzan por mitigar su amplio perfil de riesgo y mejorar rápidamente la calidad del software. Solo este año se han registrado tres vulnerabilidades de día cero relacionadas con los servicios de intercambio de archivos, y la mayor y más destructiva es la del exploit masivo de MOVEit.
Encabezado por el grupo de ransomware CL0P, el incidente MOVEit ha dominado las noticias sobre ciberseguridad durante algún tiempo, con más de 1000 organizaciones afectadas. Se prevé que este número siga creciendo, lo que lo convierte en uno de los ataques a la cadena de suministro de software más potentes desde Solarwinds en 2021.
El catalizador de esta violación generalizada fue un grupo de vulnerabilidades de inyección de SQL que, en última instancia, recibieron una puntuación de gravedad de 9.8 de 10 desde MITRE. La inyección de SQL ha sido el problema de los profesionales de la seguridad desde finales de la década de los 90 y, a pesar de ser una solución bastante sencilla, sigue encontrando su camino en el software moderno y proporcionando una alfombra roja a los datos confidenciales para los actores de amenazas.
El escenario de MOVEit es un poco diferente al que muchos desarrolladores y profesionales de AppSec pueden haber experimentado anteriormente, y puede poner a prueba sus habilidades de destrucción de SQL en una simulación en vivo aquí mismo:
>>> JUEGA A LA MISIÓN MOVEit
La vulnerabilidad: inyección SQL
¿Cómo se usó exactamente la inyección SQL para explotar la aplicación de transferencia de archivos MOVEit de Progress Software?
El grupo de ransomware CL0P pudo aprovechar la vulnerabilidad de inyección de SQL CVE-2023-34362, lo que les permitió acceder sin restricciones y sin autorización a la base de datos de MOVEit. Desde allí, pudieron instalar LEMURLOOT, un shell web que, en última instancia, les permitiría ejecutar varios procesos críticos y de alto riesgo, como la recuperación de la configuración del sistema, la enumeración de la base de datos SQL, la recuperación de archivos del sistema MOVEit Transfer y la creación de una nueva cuenta con todos los privilegios de administración.
No hace falta decir que este vector de ataque puede ser el resultado de un error relativamente simple, que podría atribuirse al uso perpetuo de patrones de codificación deficientes, pero su potencial para causar problemas continuos a nivel empresarial es inmenso.
Al igual que el exploit MOVEit, echemos un vistazo a esta explicación de SQLi, que simula el método de inyección y ejecución de SQL malicioso:
Esta cadena y variable de consulta:
cadena EmailAddress =»contact@scw.com«;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
dará como resultado la siguiente consulta:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'»;
... y con entradas creadas con fines malintencionados:
string emailAddress = "contact@scw.com '; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --»;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
se convertirá en:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --'»;
¿Cómo se ve eso en vuelo?
Tenga en cuenta que, debido a la concatenación de cadenas, la entrada se interpreta como sintaxis SQL. En primer lugar, se añade una comilla simple para asegurarse de que la sentencia SELECT es una sintaxis SQL válida. A continuación, se añade un punto y coma para terminar la primera sentencia.
Una vez que esté en su lugar, se agrega una instrucción DELETE válida, seguida de dos guiones para comentar los caracteres finales (las comillas simples). Una sentencia UPDATE podría añadirse con la misma facilidad, por ejemplo, si el SQL malintencionado tuviera que actualizar las funciones o contraseñas de los usuarios.
Pruébalo tú mismo en esta misión jugable:
Si bien es relativamente sencillo, SQLi sigue siendo un poderoso vector de ataque y muy común. En el caso de MOVEit, este exploit dio paso a una dañina instalación de puerta trasera y a un grupo de ataques adicionales de gravedad similar.
¿Cómo se puede mitigar el riesgo de inyección de SQL?
Para cualquier empresa que utilice MOVEit como parte de sus operaciones comerciales, es imprescindible que siga los consejos de remediación recomendados por Software Progress. Esto incluye, entre otros, la aplicación de parches de seguridad como prioridad de nivel de emergencia.
Para la inyección de SQL en general, consulte nuestra guía completa.
¿Quiere obtener más información sobre cómo escribir código seguro y mitigar los riesgos? Pruebe nuestro Desafío de inyección de SQL gratis.
Si estás interesado en obtener más pautas de codificación gratuitas, consulta Entrenador de código seguro para ayudarlo a mantenerse al tanto de las mejores prácticas de codificación segura.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Laura Verheyde est développeuse de logiciels à l'adresse Secure Code Warrior . Elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Missions et Coding labs.
Los ciberataques a la cadena de suministro de software son cada vez más comunes, lo que ha provocado una serie de cambios legislativos a nivel gubernamental de EE. UU., mientras las empresas se esfuerzan por mitigar su amplio perfil de riesgo y mejorar rápidamente la calidad del software. Solo este año se han registrado tres vulnerabilidades de día cero relacionadas con los servicios de intercambio de archivos, y la mayor y más destructiva es la del exploit masivo de MOVEit.
Encabezado por el grupo de ransomware CL0P, el incidente MOVEit ha dominado las noticias sobre ciberseguridad durante algún tiempo, con más de 1000 organizaciones afectadas. Se prevé que este número siga creciendo, lo que lo convierte en uno de los ataques a la cadena de suministro de software más potentes desde Solarwinds en 2021.
El catalizador de esta violación generalizada fue un grupo de vulnerabilidades de inyección de SQL que, en última instancia, recibieron una puntuación de gravedad de 9.8 de 10 desde MITRE. La inyección de SQL ha sido el problema de los profesionales de la seguridad desde finales de la década de los 90 y, a pesar de ser una solución bastante sencilla, sigue encontrando su camino en el software moderno y proporcionando una alfombra roja a los datos confidenciales para los actores de amenazas.
El escenario de MOVEit es un poco diferente al que muchos desarrolladores y profesionales de AppSec pueden haber experimentado anteriormente, y puede poner a prueba sus habilidades de destrucción de SQL en una simulación en vivo aquí mismo:
>>> JUEGA A LA MISIÓN MOVEit
La vulnerabilidad: inyección SQL
¿Cómo se usó exactamente la inyección SQL para explotar la aplicación de transferencia de archivos MOVEit de Progress Software?
El grupo de ransomware CL0P pudo aprovechar la vulnerabilidad de inyección de SQL CVE-2023-34362, lo que les permitió acceder sin restricciones y sin autorización a la base de datos de MOVEit. Desde allí, pudieron instalar LEMURLOOT, un shell web que, en última instancia, les permitiría ejecutar varios procesos críticos y de alto riesgo, como la recuperación de la configuración del sistema, la enumeración de la base de datos SQL, la recuperación de archivos del sistema MOVEit Transfer y la creación de una nueva cuenta con todos los privilegios de administración.
No hace falta decir que este vector de ataque puede ser el resultado de un error relativamente simple, que podría atribuirse al uso perpetuo de patrones de codificación deficientes, pero su potencial para causar problemas continuos a nivel empresarial es inmenso.
Al igual que el exploit MOVEit, echemos un vistazo a esta explicación de SQLi, que simula el método de inyección y ejecución de SQL malicioso:
Esta cadena y variable de consulta:
cadena EmailAddress =»contact@scw.com«;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
dará como resultado la siguiente consulta:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'»;
... y con entradas creadas con fines malintencionados:
string emailAddress = "contact@scw.com '; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --»;
var query = $"SELECT u.Username de los usuarios como u WHERE u.Email = '{emailAddress}'»;
se convertirá en:
var query = $"SELECT u.Nombre de usuario de usuarios como u WHERE u.Email = 'contact@scw.com'; ELIMINAR DE LAS FACTURAS DONDE ID = 2; --'»;
¿Cómo se ve eso en vuelo?
Tenga en cuenta que, debido a la concatenación de cadenas, la entrada se interpreta como sintaxis SQL. En primer lugar, se añade una comilla simple para asegurarse de que la sentencia SELECT es una sintaxis SQL válida. A continuación, se añade un punto y coma para terminar la primera sentencia.
Una vez que esté en su lugar, se agrega una instrucción DELETE válida, seguida de dos guiones para comentar los caracteres finales (las comillas simples). Una sentencia UPDATE podría añadirse con la misma facilidad, por ejemplo, si el SQL malintencionado tuviera que actualizar las funciones o contraseñas de los usuarios.
Pruébalo tú mismo en esta misión jugable:
Si bien es relativamente sencillo, SQLi sigue siendo un poderoso vector de ataque y muy común. En el caso de MOVEit, este exploit dio paso a una dañina instalación de puerta trasera y a un grupo de ataques adicionales de gravedad similar.
¿Cómo se puede mitigar el riesgo de inyección de SQL?
Para cualquier empresa que utilice MOVEit como parte de sus operaciones comerciales, es imprescindible que siga los consejos de remediación recomendados por Software Progress. Esto incluye, entre otros, la aplicación de parches de seguridad como prioridad de nivel de emergencia.
Para la inyección de SQL en general, consulte nuestra guía completa.
¿Quiere obtener más información sobre cómo escribir código seguro y mitigar los riesgos? Pruebe nuestro Desafío de inyección de SQL gratis.
Si estás interesado en obtener más pautas de codificación gratuitas, consulta Entrenador de código seguro para ayudarlo a mantenerse al tanto de las mejores prácticas de codificación segura.
Table des matières
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
