英国政府安全项目Government-lab研究人员Mohammed Adel发现了英国国防部在线网关的一个漏洞,由于该网关系统仅限国防部内部雇员使用,此漏洞造成的影响可能会使攻击者以内部人员身份入侵系统获取内部信息。 Government-lab 主要对国家安全相关的信息安全漏洞进行研究 Mohammed Adel 声称他使用了一种过滤旁路攻击方式(Filtering Bypass attack)验证了漏洞的存在,这种攻击不需使用@mod.uk认证的电子邮件就可实现入侵英国国防部网关系统。 成功利用漏洞入侵后,就能够获取到英国国防使用的人员训练材料和国防部下发的内部资料,同时也能够访问内部信息和公告。英国防部的这个在线网关是一个军队使用平台,所有军队单位的人员都可以使用该平台来进行内部交流。 下图为Mohammed Adel验证漏洞存在的证明: Mohammed Adel就此漏洞的评论是:“ 这个漏洞造成的影响是让我看到了一些敏感信息,包括军队训练资料数据,进一步研究就能了解国防部的相关作战策略和战术。黑客如果发现这样的漏洞,或许就会窃取内部信息然后出售,将会对英国造成威胁。我不能告诉你我如何发现了这个漏洞,这是保密原则,但该漏洞是一种旁路过滤和文件重定向漏洞。” *本文翻译自 securityaffairs |