樂晴 牙醫管理系統資料庫注入,導致逾 40 間診所資料外洩 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2021-00767
  •  發信 Vendor: 樂衍有限公司
  • Title: 樂晴 牙醫管理系統資料庫注入,導致逾 40 間診所資料外洩
  • Introduction: 牙醫管理

處理狀態

目前狀態

公開
Last Update : 2021/12/19
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2021/10/20 20:03:20 : 新提交 (由 Steven Meow 更新此狀態)
  • 2021/10/23 00:00:28 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/26 10:07:45 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/26 10:07:45 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/12/12 22:55:38 : 修補中 (由 組織帳號 更新此狀態)
  • 2021/12/12 22:55:43 : 修補中 (由 組織帳號 更新此狀態)
  • 2021/12/13 10:21:23 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2021/12/14 14:01:53 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/12/14 14:01:53 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/12/14 14:01:53 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/12/14 14:02:09 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/12/15 11:56:43 : 確認已修補 (由 Steven Meow 更新此狀態)
  • 2021/12/19 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2021-00767
  • 通報者:stevenyu113228 (Steven Meow)
  • 風險:高
  • 類型:資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。

漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://220.135.113.153:8081/
http://123.192.210.180:8081/
http://220.135.248.170:8081/
http://211.22.131.187:8083/
http://118.163.17.205:8081/
http://114.34.39.171:8081/
http://114.33.18.109:8081/
http://122.116.7.237:8081/
http://220.132.189.181:8081/
http://1.34.13.134:8081/
http://114.35.242.59:8081/
http://114.32.199.149:8081/
http://59.126.213.27:8081/
http://220.132.206.101:8081/
http://114.33.136.248:8081/
http://59.127.26.12:8081/
http://220.133.0.174:8081/
http://122.116.104.223:8081/
http://114.34.60.90:8081/
http://220.134.5.128:8081/
http://114.32.26.81:8081/
http://220.132.12.41:8081/
http://114.34.213.168:8081/
http://218.161.8.225:8081/
http://59.127.209.95:8081/
http://114.33.133.242:8081/
http://1.34.119.83:8081/
http://220.134.206.39:8081/
http://125.228.94.54:8081/
http://122.116.81.180:8081/
http://114.33.176.168:8081/
http://220.135.33.89:8081/
http://114.35.242.152:8081/
http://220.133.80.178:8081/
http://1.34.39.186:8081/
http://122.117.148.46:8081/
http://114.34.40.92:8081/
http://220.134.9.125:8081/
http://220.135.239.36:8081/
http://114.32.139.165:8081/
http://114.32.138.165:8081/
http://114.32.168.80:8081/
(僅為大致列舉,實際影響範圍可能更大)

敘述

.git 目錄洩漏,可透過 GitHack 還原
圖片

發現程式主要登入邏輯之路徑為 ajax/checkLogin_ajax.php
圖片

其中有兩個關鍵問題

  1. 有一組預設密碼直接用明文寫死在程式碼中 leyan0429,經測試確實可以登入
  2. 程式碼之 SQL 部分也可以透過 帳號輸入 ' or 1=1 -- - 以及 密碼任意來進行繞過

系統內部有非常多機敏資料,包含但不限於病患生日、身分證字號、病歷資料、診所財務報表等,影響層面較大,且具有漏洞之伺服器極多,希望可以盡速協助回報處理,謝謝!

圖片

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;