Luki w serwisach Ministerstwa Środowiska

Kontynuując temat zabezpieczeń systemów instytucji rządowych w Polsce nasza redakcja postanowiła przyjrzeć się nieco bliżej serwisom Ministerstwa Środowiska – mos.gov.pl. Jak się okazało są one podatne na ataki typu SQL Injecion (polegają głównie na wykorzystaniu błędów w językach skryptowych, które skupiają się na przekazie danych od użytkownika do bazy danych / wikipedia) uznane w środowisku osób zorientowanych na security za trywialne i niezwykle popularne.

Na podstawie tego case’a chcemy udowodnić na ile niebezpieczna może być podatność serwisu na ataki typu SQL Injecion. Efektem naszych działań było:

uzyskanie loginów i haseł dostępowych do paneli administracyjnych serwisów Ministerstwa Środowiska, co dało nam możliwość dodawania/edycji/usuwania informacji. Na przykład w podserwisie IPPC Polska mogliśmy w pełni zarządzać contentem z działów: Wiadomości, Dokumenty, Wskazówki, Prawo, Kategorie;

uzyskanie dostępu do wszystkich baz danych Ministerstwa Środowiska (MySQL oraz PostgreSQL) z prawem do wykonania dowolnego zapytania.

W wiadomych względów szczegółowe informacje w tej sprawie pozostają do wiadomości redakcji hacking.pl. Analizę przeprowadziliśmy wspólnie z Michałem Majchrowiczem – naszym stałym współpracownikiem.