英國政府安全項目government-lab研究人員mohammed adel發現了英國國防部線上網關的一個漏洞,由于該網關系統僅限國防部内部雇員使用,此漏洞造成的影響可能會使攻擊者以内部人員身份入侵系統擷取内部資訊。
government-lab 主要對國家安全相關的資訊安全漏洞進行研究
mohammed adel 聲稱他使用了一種過濾旁路攻擊方式(filtering bypass attack)驗證了漏洞的存在,這種攻擊不需使用@mod.uk認證的電子郵件就可實作入侵英國國防部網關系統。
成功利用漏洞入侵後,就能夠擷取到英國國防使用的人員訓練材料和國防部下發的内部資料,同時也能夠通路内部資訊和公告。英國防部的這個線上網關是一個軍隊使用平台,所有軍隊機關的人員都可以使用該平台來進行内部交流。
下圖為mohammed adel驗證漏洞存在的證明:
mohammed adel就此漏洞的評論是:“ 這個漏洞造成的影響是讓我看到了一些敏感資訊,包括軍隊訓練資料資料,進一步研究就能了解國防部的相關作戰政策和戰術。黑客如果發現這樣的漏洞,或許就會竊取内部資訊然後出售,将會對英國造成威脅。我不能告訴你我如何發現了這個漏洞,這是保密原則,但該漏洞是一種旁路過濾和檔案重定向漏洞。”
====================================分割線================================
本文轉自d1net(轉載)