Database Security Digest – April 2017
Hier sind die interessantesten Neuigkeiten in der Datensicherheitsbranche für den Monat April 2017.
Kaspersky Lab veröffentlichte ihren Bericht über Cyberangriffe für das Jahr 2016, der zeigt, dass es letztes Jahr 702 Millionen Versuche gab, einen Exploit zu starten. Diese Zahl ist 24,54% größer als im Jahr 2015, als Kaspersky Schutztools über 563 Millionen Versuche blockierten.
Der Einsatz von Exploits, d.h. Malware, die Bugs in der Software nutzt, wächst ständig, da es der einfachste und effektivste Weg ist, bösartigen Code (wie Banking-Trojaner oder Ransomware) zu platzieren, ohne dass der Nutzer etwas bemerkt. Die in der Unternehmenswelt am häufigsten ausgenutzten Anwendungen sind Browser, Windows OS, Android AS und Microsoft Office, und die meisten Unternehmensnutzer erlebten mindestens einmal im Jahr 2016 einen Exploit für eine dieser Anwendungen.
Mehr als 297.000 Nutzer weltweit wurden von Zero-Day- und stark verschleierten bekannten Exploits angegriffen, was ein Wachstum von 7% im Vergleich zu 2015 bedeutet.
Interessanterweise ist trotz der wachsenden Zahl von Unternehmensnutzern, die von Exploits angegriffen werden, die Zahl der betroffenen Privatnutzer im Vergleich zu 2015 um 20% gesunken – von 5,4 Millionen im Jahr 2015 auf 4,3 Millionen im Jahr 2016.
Shadow brokers veröffentlichten Exploits
Das Hacker-Team, das sich selbst “Shadow Brokers” nennt, hat das dritte Archiv mit Exploits veröffentlicht, die von der US-amerikanischen Nationalen Sicherheitsagentur stammen. Die Sammlung enthält Exploits für aktuelle Systeme, einschließlich Windows 8 und Windows 2012, und führt eine bisher unbekannte Zero-Day-Schwachstelle ein, die derzeit noch nicht korrigiert ist. Darüber hinaus gibt es Exploits für Windows Vista, Windows 2008, Windows XP und Windows 2003. Microsoft hat die Unterstützung für diese Systeme eingestellt, was bedeutet, dass die Schwachstelle nicht behoben wird.
Ein weiterer bedeutender Exploit betrifft das Bankensystem SWIFT. SWIFT ist ein weltweit verbreitetes globales Protokoll für sichere Finanznachrichten und Transaktionen, das von Banken auf der ganzen Welt genutzt wird. Die vorgestellten Dateien deuten auf einen speziell auf SWIFT-Büros und -Dienstleistungen abzielenden Angriff hin. Es gibt eine Dokumentation, die die Architektur der IT-Systeme von Banken und Diensten zur Extraktion von Informationen aus der Oracle-Datenbank beschreibt, wie z.B. Kundenlisten und SWIFT-Nachrichten.
Weit verbreitete AWS-Konfigurationsfehler öffnen Cloud-Umgebungen für Angriffe
Threat Stack, ein AWS-Technologiepartner, gab die Ergebnisse ihrer Analyse von mehr als 200 Unternehmen bekannt, die AWS nutzen. Der Bericht zeigt, dass fast drei Viertel der analysierten Unternehmen mindestens eine kritische Sicherheitsfehlkonfiguration aufweisen, die es einem Angreifer ermöglichen könnte, direkten Zugang zu privaten Diensten oder der Amazon Web Services-Konsole zu erhalten, oder die dazu genutzt werden könnte, kriminelle Aktivitäten vor Überwachungstechnologien zu verbergen.
Eine der auffälligsten Fehlkonfigurationen war die Konfiguration von AWS-Sicherheitsgruppen, die SSH in 73% der analysierten Unternehmen für das Internet offen lassen. Diese einfache Fehlkonfiguration ermöglicht es einem Angreifer, den Fernzugriff auf den Server von überall aus zu versuchen und so VPNs und Firewalls zu umgehen. Ein weiteres Problem ist die Nichteinhaltung einer gut anerkannten Praxis, für AWS-Nutzer eine mehrstufige Authentifizierung zu verlangen, was das System leicht für Brute-Force-Angriffe aussetzt. Dies wurde bei 62% der analysierten Unternehmen gefunden.
Eine weitere komplexere Sorge ist die seltene Durchführung von Software-Updates. Laut Bericht halten weniger als 13% der analysierten Unternehmen ihre Software-Updates aktuell. Darüber hinaus werden die meisten dieser nicht gepatchten Systeme auf unbestimmte Zeit online gelassen, einige von ihnen über drei Jahre lang.
Sicherheits-Patch Oracle
In dem neuesten kritisc+hen Patch-Update von Oracle werden 299 Schwachstellen behoben, darunter 39 Sicherheitsfixes für Oracle MySQL und 3 für den Oracle Database Server.
Oracle Database Server
CVE# | Komponente | Erforderliches Privileg | Protokoll | Fernzugriff ohne Auth.? | CVSS v3 Score | Angriffsvektor |
CVE-2017-3486 | SQL*Plus | Lokale Anmeldung | Oracle Net | Nein | 7.2 | Lokal |
CVE-2017-3567 | OJVM | Sitzung erstellen, Prozedur erstellen | Mehrere | Nein | 5.3 | Netzwerk |
CVE-2016-6290 | PHP | Keine | Mehrere | Ja | 9.8 | Netzwerk |
Oracle MySQL
CVE# | Komponente | Unterkomponente | Protokoll | Fernzugriff ohne Auth.? | CVSS v3 Score | Angriffsvektor |
CVE-2017-5638 | MySQL Enterprise Monitor | Monitoring: General (Struts 2) | MySQL-Protokoll | Ja | 10.0 | Netzwerk |
CVE-2016-6303 | MySQL Workbench | Workbench: Sicherheit: Verschlüsselung (OpenSSL) | MySQL-Protokoll | Ja | 9.8 | Netzwerk |
CVE-2017-3523 | MySQL-Konnektoren | Connector/J | MySQL-Protokoll | Nein | 8.5 | Netzwerk |
CVE-2017-3306 | MySQL Enterprise Monitor | Monitoring: Server | MySQL-Protokoll | Nein | 8.3 | Netzwerk |
CVE-2016-2176 | MySQL Enterprise Backup | Backup: ENTRBACK (OpenSSL) | MySQL-Protokoll | Ja | 8.2 | Netzwerk |
CVE-2016-2176 | MySQL Workbench | Workbench: Sicherheit: Verschlüsselung (OpenSSL) | MySQL-Protokoll | Ja | 8.2 | Netzwerk |
CVE-2017-3308 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 7.7 | Netzwerk |
CVE-2017-3309 | MySQL Server | Server: Optimizer | MySQL-Protokoll | Nein | 7.7 | Netzwerk |
CVE-2017-3450 | MySQL Server | Server: Memcached | MySQL-Protokoll | Ja | 7.5 | Netzwerk |
CVE-2017-3599 | MySQL Server | Server: Pluggable Auth | MySQL-Protokoll | Ja | 7.5 | Netzwerk |
CVE-2017-3329 | MySQL Server | Server: Thread Pooling | MySQL-Protokoll | Ja | 7.5 | Netzwerk |
CVE-2017-3600 | MySQL Server | Client mysqldump | MySQL-Protokoll | Nein | 6.6 | Netzwerk |
CVE-2016-3092 | MySQL Enterprise Monitor | Monitoring: General (Apache Commons FileUpload) | MySQL-Protokoll | Nein | 6.5 | Netzwerk |
CVE-2017-3331 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 6.5 | Netzwerk |
CVE-2017-3453 | MySQL Server | Server: Optimizer | MySQL-Protokoll | Nein | 6.5 | Netzwerk |
CVE-2017-3452 | MySQL Server | Server: Optimizer | MySQL-Protokoll | Nein | 6.5 | Netzwerk |
CVE-2017-3586 | MySQL-Konnektoren | Connector/J | MySQL-Protokoll | Nein | 6.4 | Netzwerk |
CVE-2017-3732 | MySQL Enterprise Backup | Backup: ENTRBACK (OpenSSL) | MySQL-Protokoll | Ja | 5.9 | Netzwerk |
CVE-2017-3731 | MySQL Enterprise Monitor | Monitoring: General (OpenSSL) | MySQL-Protokoll | Ja | 5.9 | Netzwerk |
CVE-2017-3454 | MySQL Server | Server: InnoDB | MySQL-Protokoll | Nein | 5.5 | Netzwerk |
CVE-2017-3304 | MySQL Cluster | Cluster: DD | MySQL-Protokoll | Nein | 5.4 | Netzwerk |
CVE-2017-3455 | MySQL Server | Server: Sicherheit: Privilegien | MySQL-Protokoll | Nein | 5.4 | Netzwerk |
CVE-2017-3305 | MySQL Server | Server: C API | MySQL-Protokoll | Nein | 5.3 | Netzwerk |
CVE-2017-3302 | MySQL Server | Server: C API | MySQL-Protokoll | Nein | 5.1 | Lokal |
CVE-2017-3460 | MySQL Server | Server: Audit Plug-in | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3456 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3458 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3457 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3459 | MySQL Server | Server: Optimizer | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3463 | MySQL Server | Server: Sicherheit: Privilegien | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3462 | MySQL Server | Server: Sicherheit: Privilegien | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3461 | MySQL Server | Server: Sicherheit: Privilegien | MySQL-Protokoll | Nein | 4.9 | Netzwerk |
CVE-2017-3464 | MySQL Server | Server: DDL | MySQL-Protokoll | Nein | 4.3 | Netzwerk |
CVE-2017-3465 | MySQL Server | Server: Sicherheit: Privilegien | MySQL-Protokoll | Nein | 4.3 | Netzwerk |
CVE-2017-3467 | MySQL Server | Server: C API | MySQL-Protokoll | Ja | 3.7 | Netzwerk |
CVE-2017-3469 | MySQL Workbench | Workbench: Sicherheit : Verschlüsselung | MySQL-Protokoll | Ja | 3.7 | Netzwerk |
CVE-2017-3589 | MySQL-Konnektoren | Connector/J | MySQL-Protokoll | Nein | 3.3 | Lokal |
CVE-2017-3590 | MySQL-Konnektoren | Connector/Python | Keins | Nein | 3.3 | Lokal |
CVE-2017-3307 | MySQL Enterprise Monitor | Monitoring: Server | MySQL-Protokoll | Nein | 3.1 | Netzwerk |
CVE-2017-3468 | MySQL Server | Server: Sicherheit: Verschlüsselung | MySQL-Protokoll | Nein | 3.1 | Netzwerk |
Kritische Schwachstelle in SAP HANA
SAP behebt eine kritische Code-Injection-Schwachstelle (CVE-2017-7691) die den in HAN und einem Dutzend weiterer SAP-Produkte integrierten TREX-Suchmotor betrifft. Die Schwachstelle ist aus der Ferne ausnutzbar, CVSS hat sie mit 9,8 bewertet.
Eine weitere Schwachstelle wurde in der SAP HANA DB gefunden. CVE-2016-6143 ermöglicht Angreifern das remote Ausführen von beliebigem Code über Vektoren, die die Audit-Logs betreffen.
MySQL 5.6.36 Release
Die Veröffentlichung von Oracle MySQL beinhaltet Bugfixes hauptsächlich für InnoDB und mysql_safe und die folgenden Sicherheitsverbesserungen:
- Die verknüpfte OpenSSL-Bibliothek wurde aktualisiert, um eine Anzahl von Schwachstellen zu beheben.
- Die mysql_options() C API-Funktion unterstützt nun die Option MYSQL_OPT_SSL_MODE. Die Option SSL_MODE_REQUIRED wird für eine sichere Verbindung zum Server verwendet.
Datenbanksicherheits-Digest – März Datenbanksicherheits-Digest – Februar Datenbanksicherheits-Digest – Januar