Εντοπίστηκε κρίσιμο κενό ασφαλείας στην ιστοσελίδα του Μητρώου Δημοσίων Ιστότοπων και Εφαρμογών που ανήκει στο Υπουργείο Ψηφιακής Διακυβέρνησης και διαθέτει 585 καταχωρισμένους ιστότοπους και 36 καταχωρημένες εφαρμογές.
Δύο Έλληνες ερευνητές ο Δημήτρης Χατζηδημήτρης και ο Αναστάσης Βασιλειάδης κατάφεραν να εντοπίσουν ένα κενό ασφαλείας σε ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης, και πιο συγκεκριμένα στο Μητρώο Δημόσιων Ιστότοπων και Εφαρμογών κάτι που τους επέτρεψε να πραγματοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση σε τμήμα της βάσης δεδομένων του οργανισμού.
Σύμφωνα με τους Έλληνες ερευνητές, ο οργανισμός ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας, αλλά μέχρι σήμερα, δεν έχει προβεί σε κάποια επιδιόρθωση.
Η ευπάθεια είναι τύπου SQL injection και η συγκεκριμένη αδυναμία:
Parameter: orgID (GET)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
«Η συγκεκριμένη ευπάθεια μας έδωσε πρόσβαση στην βάση δεδομένων του μητρώου δημόσιων ιστότοπων και εφαρμογών. Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από την βάση εφόσον είχαμε ήδη επιβεβαίωση την αδυναμία στην ασφάλεια της ιστοσελίδας», αναφέρουν χαρακτηριστικά οι ερευνητές.
Οι ακριβείς πληροφορίες αλλά και η αδυναμία που χρησιμοποιήσαν οι ερευνητές παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από το SecNews. Δεν κοινοποιούμε το ακριβές της αδυναμίας ώστε να μην τύχει εκμετάλλευσης από κακόβουλους χρήστες ή επιτιθέμενους hackers τρίτων χωρών.
Πηγή: secnews.gr
