Ministerstwo Sprawiedliwości zagrożone atakiem

Istnieje bardzo wysokie prawdopodobieństwo, że serwis internetowy Ministerstwa Sprawiedliwości może zostać zaatakowany przez hakerów. W ostatnim czasie podobny los spotkał witryny Kancelarii Premiera RP i Ministerstwa Pracy i Polityki Społecznej

Lynne Lancaster
Lynne Lancasterstock.xchng

Luka znajduje się w jednej z podstron serwisu, w której najwidoczniej zapomniano o prawidłowym filtrowaniu wysyłanych podczas zapytań do bazy danych informacji. Informacje znajdujące się w tej podrzędnej bazie resortu z pewnością nie stanowią większego zagrożenia, lecz stanowią dobrą podstawę pod dalszą ingerencję w kolejne struktury informatyczne resortu.

Luka SQL Injection w tym przypadku, pozwala również na zapoznanie się z wersją oprogramowania serwera baz danych, pracującym dla serwisu Ministerstwa Sprawiedliwości, który korzysta z delikatnie podstarzałego Microsoft SQL Server 2000. Podatność umożliwia dokładne zapoznanie się z systemem bazowym, tj. Windows NT 5.2, zawierającym Service Pack 2.

Czasami, przy pewnych założeniach, takich jak m.in. katalogi on-line z prawami do zapisu, ingerencja w bazę danych pozwala na wgranie do zasobów serwera pliku typu PHP Shell, mogącego bezpośrednio zagrozić serwerowi (poprzez uzyskanie praw administratora systemu) oraz witrynie serwisu (poprzez podmianę strony serwisu), jak to miało miejsce w przypadku KPRM i MPiPS.

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas