Datenbanksicherheitsübersicht für August 2017
Vorfälle in der Datenbanksicherheit
Der Second-Hand-Händler für Hardware und Software CeX hat einen Sicherheitsvorfall erlitten, bei dem persönliche Daten von bis zu 2 Millionen Kunden gefährdet wurden, einschließlich Namen, physische und E-Mail-Adressen, Telefonnummern und möglicherweise verschlüsselte Daten von abgelaufenen Kreditkarten bis 2009, der Zeitpunkt, zu dem CeX die Speicherung von Finanzdaten eingestellt hat.
Ein Satz von persönlichen Daten der Wähler wurde offengelegt durch einen Anbieter von Wahlverwaltungssystemen und Wahlmaschinen Election Systems & Software. Standardmäßig erfordern Amazon-Buckets eine Authentifizierung, aber irgendwie ist es ihnen gelungen, einen Amazon-Bucket falsch zu konfigurieren, der eine Backup-Datenbank mit 1,8 Millionen Datensätzen (Namen, Adressen, Geburtsdaten, Führerscheinnummern, Sozialversicherungsnummern und staatliche Identifikationsnummern) enthielt.
Ein weiteres Beispiel für das Fehlen einer Cybersicherheitsorganisation ist die Literaturagentur Bell Lomax Moreton, die Tausende von sensiblen Akten offengelegt hat, einschließlich Kundendaten, Lizenzzahlungen und sogar unveröffentlichter Bücher. Die Daten wurden online auf einem falsch konfigurierten Backup-Laufwerk offengelegt, das keine Benutzernamen und Passwörter zur Anzeige sensibler Daten des Unternehmens erforderte.
Eine Firma namens Power Quality Engineering stellte sensible Daten öffentlich zur Verfügung, einschließlich potenzieller Schwachstellen von elektrischen Systemen der Kunden sowie Konfigurationen und Standorte einiger Top-Geheimdienst-Übertragungszonen. Das Leck trat aufgrund eines offenen Ports auf, der von einem Remote-Synchronisationsprogramm rsync verwendet wurde.
Eine massive Malware-Kampagne führte zu einem Einbruch in über 711 Millionen E-Mail-Datensätze, einschließlich Passwörter. Der Dump wurde auf einem öffentlich zugänglichen und ungesicherten Server in den Niederlanden gefunden. Die gestohlenen Datensätze scheinen aus älteren Datenpannen zu stammen.
Ein unbekannter Hacker behauptet, er habe 11 Millionen Datensätze aus der Datenbank mit persönlichen Daten von National Health Service-Kunden gestohlen, indem er ungepatchte Softwarefehler ausnutzt. Die Cybersicherheitsbehörden des NHS berichteten jedoch, dass nur 35.501 Zeilen administrativer Daten abgerufen wurden. Die Untersuchung läuft noch.
Die Kryptowährungs-Investitions- und Handelsplattform Enigma wurde kurz vor einem Krypto-Token-Verkauf während des ICO-Vorverkaufs gehackt. Hacker erstellten eine gefälschte ETH-Adresse und spammten Enigmas Slack-Kanal und E-Mail-Newsletter für Vorverkaufs-Münzen. Die Benutzer wurden dazu verleitet, etwa 500.000 USD an die gefälschte ETH-Adresse zu senden. Der Vorfall ähnelt stark dem CoinDash-Angriff, der im Vormonat stattfand.
WikiLeaks hat ein weiteres Set von CIA-Dokumenten veröffentlicht mit Details zum Programm “ExpressLane” der Agentur, das angeblich entwickelt wurde, um biometrische Daten vom FBI, der NSA, dem Heimatschutzministerium und einigen anderen US-Behörden zu sammeln.
Fancy Bear, eine angeblich kremlinnahe Hackergruppe, hat die Namen britischer Fußballspieler offenbart, die 2015 bei Dopingtests durchgefallen sind und während der Weltmeisterschaft 2010 die Erlaubnis erhielten, verbotene Medikamente zu verwenden.
Sicherheitslücken und Updates bei RDBMS
PostgreSQL
CVE-2017-7548 CVSS v3 Basisscore: 7.5 Beschreibung: Eine Autorisierungsfehlfunktion in PostgreSQL-Versionen vor 9.4.13, 9.5.8 und 9.6.4, die es einem Angreifer ohne Berechtigungen für große Objekte ermöglicht, den Inhalt des Objekts zu überschreiben und so eine Dienstverweigerung zu verursachen. Sie kann über das Netzwerk ausgenutzt werden und erfordert Authentifizierung.
CVE-2017-7547 CVSS v3 Basisscore: 8.8 Betroffene Versionen: PostgreSQL-Versionen vor 9.2.22, 9.3.18, 9.4.13, 9.5.8 und 9.6.4. Beschreibung: Ein Autorisierungsfehler, der es einem Angreifer ermöglicht, Passwörter aus den von den Eigentümern der Fremdserver definierten Benutzermappings abzurufen. Es ist über das Netzwerk ausnutzbar und erfordert Authentifizierung.
CVE-2017-7546 CVSS-Schweregrad: 9.8 Betroffene Versionen: PostgreSQL-Versionen vor 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Beschreibung: Ein Authentifizierungsfehler, der es einem entfernten Angreifer ermöglicht, auf Datenbankkonten ohne zugewiesene Passwörter zuzugreifen. Die Schwachstelle ist über das Netzwerk ausnutzbar, ohne Authentifizierung.
MS SQL Server
CVE-2017-8516 CVSS-Schweregrad: 7.5 Betroffene Versionen: Microsoft SQL Server 2012, Microsoft SQL Server 2014, Microsoft SQL Server 2016 Beschreibung: Microsoft SQL Server Analysis Services ermöglichen eine Informationsoffenlegung, wenn Berechtigungen nicht ordnungsgemäß durchgesetzt werden. Über das Netzwerk ausnutzbar, ohne Authentifizierung.
Microsoft Azure, SAP HANA
CVSS-Schweregrad: 5.4
Betroffene Versionen: Microsoft Azure vor 2016 R2 SP1, SAP HANA vor 2017, Business Analytics vor 2016 R2.
Beschreibung: Ein Cross-Site-Scripting-Problem in OSIsoft PI Integrator. Erfolgreiche Ausnutzung ermöglicht es einem Angreifer, ein bösartiges Skript hochzuladen, das Benutzer auf eine schädliche Website umleitet. Die Sicherheitslücke ist über das Netzwerk ausnutzbar und erfordert Authentifizierung.
RDBMS-Updates
Greenplum Database 4.3.16.1 Release. Eine neue Version der Pivotal Greenplum Database unterstützt das S3-Protokoll für Proxys, außerdem enthält sie Open-Source-Datenwissenschaft-Module für Python und R-Bibliotheken, die optional installiert werden können. Der Abfrageverarbeitungsdispatcher der Greenplum-Datenbank wurde verbessert, jetzt wählt er eine zufällige Segmentinstanz als einzelnen Lese-Gang für die Datenkonsolidierung und -verteilung aus. Dies hilft, die Last zu verteilen und somit die Leistung zu steigern.
Percona-Server-5.7.19-17 basiert auf MySQL 5.7.19 und beinhaltet alle darin enthaltenen Bugfixes.
Datenbanksicherheitsübersicht – Juli Datenbanksicherheitsübersicht – Juni Datenbanksicherheitsübersicht – Mai