独占記事ジブラルタル政府のウェブサイトに SQL インジェクションの脆弱性があり、誰でも英国海外領土の法律の公式ウェブバージョンを書き換えられるようになった。
セキュリティ研究者のアックス・シャルマ氏は、ジブラルタル国境沿岸警備局のウェブサイトからアクセスしたジブラルタル政府のビザ規則を精査しているときにこの脆弱性を発見した。
政府のウェブサイトで公開された情報を利用した悪意のある人物が、ジブラルタルの法律の公式オンラインリポジトリにある PDF ファイルを削除してアップロードした可能性がある。
ページの下部にある「変更」と「削除」のリンクが見えますか?これらを機能させるために必要なのは、サイトのログイン情報だけでした。そして、それらの保護は簡単に回避できました。
無料でダウンロードできるソフトウェアスイートを利用して、こうした脆弱性を悪用し、オンライン版の法律を改ざんした可能性があります。デジタル時代において、政府のウェブサイトに掲載された法律は、その原本が議会に保管されていることが多いにもかかわらず、広く世間では正式かつ拘束力のあるものとして扱われています。
ジブラルタル政府は影響を受けたウェブページをオフラインにしましたが、この事件はシステム管理者にとって、基本的な SQL の衛生とセキュリティ対策がこれまでと同様に重要であることをタイムリーに思い出させるものとなるでしょう。
ジブラルタルの国境管理局のウェブサイト
先週の金曜日まで、移民法へのリンク(上の画像)は左側にあり、検索フォームのある別のページにつながっていました。このフォームは、コード実行を防ぐためのユーザー入力のサニタイズ処理を行っていませんでした。'検索語として1文字入力するだけで(エラーベースのインジェクション)、その旨を示すエラーページが表示され、各法律の公開ウェブページには「変更/削除」というタイトルのリンクが表示されていました。
オープンソースの侵入テストツールsqlmapを使用することで、シャルマ氏は法律ホスティングサイトを構成するすべてのテーブルとデータベース情報を閲覧することができました。その中の1つ、giblaws_giblaws.userというテーブルがすぐに彼の目に留まりました。
同氏はEl Regに次のように語った。「テーブルにはスタッフの名前、ユーザー名、パスワード ダイジェストなどが含まれていました」。さらに、「sqlmap に組み込まれているダイジェスト クラッキング ツールを使えば、1 秒未満でパスワードの 1 つを簡単に解読できました!」と付け加えた。
ジブラルタル政府の法律ウェブサイトのユーザーデータベースのスクリーンショット(Ax Sharma 氏が撮影)
セキュリティ研究者によると、そのパスワードは6桁の数字で、「おそらく生年月日」だったという。この情報を使えば、ログインしてアカウントの権限を使い、ウェブサイトのコンテンツを編集するのは容易だったはずだ。
ジブラルタル政府がアクセスと変更の管理、そしてサイトコンテンツの監視を維持し、そのような悪ふざけを即座に見抜くことができることを期待したいが、El Reg は推測することしかできない。
ジブラルタル政府報道官は、シャルマ氏が「脆弱性を指摘してくれた」ことに感謝し、「この問題はすでに解決され、主要な脆弱性は軽減されました。しかしながら、いずれにせよ、今後数日以内に、ウェブサイトのこのセクションは全く新しいウェブサイトに移転される予定です」と述べた。
以前は法律関連ページへアクセスできたURLは現在、404エラーの「見つかりません」ページへリダイレクトされます。広報担当者は続けて、「ジブラルタル政府のウェブサイトは当社の企業ネットワーク外でホストされているため、以前の脆弱性は政府の通信システムのセキュリティにリスクをもたらすものではありません」と述べました。
他人のマシン上で許可なくsqlmapを実行すると、英国の 1990 年コンピューター不正使用法違反になる可能性があることに注意してください。
奇妙なことに、広報担当者は、誰でも自由に法律を改正できる可能性についてコメントしなかった。政治慣習上、そのようなことは通常、政治家、茶封筒、そして相当の時間と労力を必要とする。
Sharma 氏の詳細な調査結果は彼の Medium ブログに掲載されています。®
