瑞士BPC银行软件SmartVista易受SQL注入攻击

  • A+
所属分类:安全资讯

由BPC Group创建的SmartVista支付基础设施和管理系统套件易受SQL注入攻击。

安全公司Rapid7的研究人员在无法提供供应商的回应后,公开披露了影响金融平台SmartVista的SQL注入漏洞。

SmartVista是由BPC集团创建的一套支付基础设施和管理系统。

SmartVista是BPC Banking的金融产品,Rapid7专家分析了该报告,并在2017年5月份向供应商报告了缺陷。

美国CERT协调中心和瑞士证券交易委员会在公开披露该漏洞后发表了警报。

即使该漏洞只能由前端认证的用户(SmartVista的事务)触发,攻击者也可以传递访问敏感数据。

“今天,我们宣布在BPC的SmartVista中发现一个SQL注入漏洞,这是一套与电子商务和其他金融交易业务相关的产品。”Rapid7发表的分析。利用此漏洞需要对SmartVista前端的“交易”部分进行身份验证访问。成功的利用可以产生敏感数据,包括数据库后端的用户名和密码。此漏洞的特征是  CWE-89  (在SQL命令中使用的特殊元素的不正当的中和)。

具有访问Transaction接口的平台身份验证的用户提供三个输入字段:

  • “Card Number”
  • “Account Number”
  • “Transaction Date from”

Rapid7专家发现,前端缺乏输入验证,不会对交易模块中使用的卡号或帐号输入字段进行过滤。

瑞士BPC银行软件SmartVista易受SQL注入攻击

卡号字段只接受确切的卡号以提供输出。研究人员注意到,事先不知道卡号,攻击者可以通过该字段启动基于布尔的SQL注入。

但是,当提供了Boolean true语句(如'或'1'='1)时,数据库响应了五秒钟的延迟,从而导致基于时间的SQL注入向量。

攻击者可以使用这个技巧强制查询数据库,从而可以暴露来自可访问表的信息。

攻击者擅长脚本可以走很长的路要走,帖子解释说:

“要在数据库SYS(特定于Oracle)的DBA_USERS表中访问用户名和加密密码,可以制作一系列数据库查询来询问true / false语句,例如”用户列中的第一行的第一个字符以'a'开头?“在真实的响应中,将返回事务值,表示第一个字符确实以'a'开头。在错误回复中,不会返回数据,自动系统可以移动到下一个字符。这可以继续,直到发现完整的用户名,以及密码。“继续分析。

Rapid7建议使用SmartVista的公司按照BPC Banking发布安全更新,同时采用Web应用程序防火墙(WAF)可以帮助保护平台免受SQL注入攻击。

 

翻译自: securityaffairs

发表评论

您必须才能发表评论!