Datenbanksicherheits-Digest – Juli 2017
Während die Welt auf die neuen Exploits des CIA-Leaks von den Shadow Brokers wartet, sind Cyberkriminelle fleißig. Angreifer hacken Banken, setzen einfache und schnelle SQL-Injection-Scanner ein und beginnen, nach Kryptowährung zu suchen, und schaffen es, während des ICO eine Ladung Etherium zu stehlen. In der Zwischenzeit wurden Tonnen von persönlichen Daten durchgesickert und zahlreiche Sicherheitslücken von Oracle und SAP gepatcht. Wir präsentieren Ihnen einen kurzen Überblick über die neuesten Ereignisse in der Datenbanksicherheit.
Hijacking und Stehlen
Eine unbekannte Partei hat CoinDash gehackt, eine Plattform zur Verwaltung von Krypto-Assets. Kriminelle haben die betrügerische Etherium-Adresse eingesetzt und während der 15 Minuten vor den öffentlichen ICO-Prozeduren 7,7 Millionen Dollar in Kryptowährung gewonnen. CoinDash bleibt trotz des Vorfalls optimistisch und betont, dass Investoren in jedem Fall eine Gutschrift erhalten werden.
Neue Bedrohungen
Die Shadow Brokers, bekannt für das Leaken von Schwachstellen, die später in WannaCry und NotPetya genutzt wurden, haben anscheinend für diejenigen, die für 21.0000 Dollar im Monat abonniert haben, einen neuen Satz von Exploits rausgehauen. Darüber hinaus haben sie versprochen, weitere Leaks zu veröffentlichen, einschließlich Daten über Atomraketen. Klingt spaßig.
Es gibt auch eine neue WikiLeaks-Publikation über drei angeblich zur CIA gehörende Hacking-Tools (Achilles, Aeris und SeaPea). Die Tools zielen darauf ab, macOS DMG-Installer zu trojanisieren, Malware für POSIX-Systeme einzupflanzen und Infektionen auf Mac OS X-Systemen zwischen System-Neustarts zu behalten.
Begabter SQL-Injection-Scanner
Die Suche nach SQL-Injection-Anfälligkeiten wird schneller und einfacher mit Hilfe eines SQL-Injection-Scanners namens Katyusha Scanner, der über den Telegram-Messenger oder das Webinterface verwaltet wird. Es basiert auf dem Open-Source-Penetrationstest-Tool Arachni Scanner. Die Geschwindigkeit des Scans ist signifikant. Das Tool ermöglicht auch das Scannen einer Liste von Websites anstelle von einzelnen Untersuchungen. Sobald eine anfällige Seite erkannt wird, kann Katyusha die Schwachstelle automatisch ausnutzen, eine Webshell liefern oder die Datenbanken dumpen. Laut Anzeigen kann das Tool auch zum Scannen und Exportieren von E-Mail/Passwort-Credentials und zum Durchführen von Brute-Force-Angriffen verwendet werden. Es unterstützt die ergebnisbasierte Erkennung, Blind-SQL-Injection unter Verwendung von Timing-Angriffen und differentialanalytischen Techniken für eine breite Palette von RDBMSs.
Das Tool hat sich ziemlich großer Beliebtheit erfreut, jetzt kosten die Pro- und Lite-Versionen des Dienstes $500 bzw. $250 oder $200 für die monatliche Lizenz.
Fehlkonfigurierter AWS-Speicher
Fehlkonfigurierte Amazon Web Services-Speicherserver leaken Daten. Verizon hat Telefonnummern, Namen und einige PIN-Codes von 6 Millionen Kunden preisgegeben. Früher in diesem Monat hat ein professionelles Wrestling-Unternehmen WWE bekannt gegeben, dass persönliche Daten von 3 Millionen Konten online einsehbar waren. In beiden Fällen wurden die Daten in AWS Simple Storage Service (S3)-Buckets gespeichert. Die Lecks entstanden durch eine Fehlkonfiguration der Berechtigungszugriffe auf die Buckets. Sie können die Berechtigungseinstellungen hier ändern.
Banken hacken
Italiens größte Bank UniCredit ist gehackt worden und hat persönliche Daten und Internationale Bankkontonummern (IBAN) von 400.000 Kreditantragstellern preisgegeben. Der Verstoß wurde erst jetzt bemerkt, die erste Kompromittierung ist jedoch bereits zehn Monate her.
SAP-Sicherheitspatch
SAP hat einen Patch veröffentlicht, der Sicherheitslücken in fast einem Dutzend Produkten behebt, einschließlich einer Denial-of-Service-Anfälligkeit im SAP Host Agent, der darauf ausgelegt ist, SAP-Instanzen, Datenbanken und Betriebssysteme zu überwachen. Die Schwachstelle betrifft HANA 1, HANA 2 und ermöglicht es einem Angreifer, den Agenten ohne Autorisierung durch eine bösartige SOAP-Anfrage ferngesteuert neu zu starten.
Eine weitere kritische Anfälligkeit wurde in SAPs Client/Server-Point-of-Sale (PoS)-Lösung gefunden. Aufgrund einer Reihe fehlender Autorisierungsprüfungen erlaubt sie einem Angreifer, ohne Autorisierung auf einen Dienst zuzugreifen.
Kerberos-Schwachstellen
CVE-2017-8495 CVSS 3-Schweregrad: 8.1 Eine Privilegien-Erhöhungsschwachstelle in verschiedenen Windows-Betriebssystemversionen entsteht, weil Kerberos das NTLM-Authentifizierungsprotokoll als Standardauthentifizierungsprotokoll verwendet. Die Ausnutzung erfordert keine Authentifizierung und kann remote durchgeführt werden.
CVE-2017-8495 CVSS 3-Schweregrad: 7.5 Eine Anfälligkeit im Kerberos-Authentifizierungsprotokoll in verschiedenen Windows-Betriebssystemversionen, die es einem Angreifer ermöglicht, die Erweiterte Schutzfunktion für die Authentifizierung zu umgehen, wenn Kerberos das Manipulieren des SNAME-Felds während des Ticket-Austauschs nicht verhindert.
Oracle Critical Patch Update
Oracle Critical Patch Update enthält 308 Sicherheitsfixes, darunter 5 für Oracle Database Server und 30 für Oracle MySQL.
Oracle Database Server-Schwachstellen
CVE# | Komponente | Erforderliches Paket und/oder Privilegien | Protokoll | Remote-Exploit ohne Autorisierung | CVSS 3 Score | Angriffsvektor | Angriffskomplexität |
CVE-2017-10202 | OJVM | Session erstellen, Prozedur erstellen | Mehrere | Nein | 9.9 | Netzwerk | Niedrig |
CVE-2014-3566 | DBMS_LDAP | Kein | LDAP | Ja | 6.8 | Netzwerk | Hoch |
CVE-2016-2183 | Real Application Clusters | Kein | SSL/TLS | Ja | 6.8 | Netzwerk | Hoch |
CVE-2017-10120 | RDBMS-Security | Session erstellen, Auf jedes Wörterbuch zugreifen | Oracle Net | Nein | 1.9 | Lokal | Hoch |
CVE-2016-3092 | Oracle REST-Datendienste | Kein | Mehrere | Ja | 7.5 | Netzwerk | Niedrig |
Oracle MySQL-Schwachstellen
CVE# | Komponente | Erforderliches Paket und/oder Privilegien | Protokoll | Remote-Exploit ohne Autorisierung | CVSS 3 Score | Angriffsvektor | Angriffskomplexität |
CVE-2016-4436 | MySQL Enterprise Monitor | Monitor: Allgemein (Apache Struts 2) | HTTP über TLS | Ja | 9.8 | Netzwerk | Niedrig |
CVE-2017-5651 | MySQL Enterprise Monitor | Monitoring: Server (Apache Tomcat) | HTTP über TLS | Ja | 9.8 | Netzwerk | Niedrig |
CVE-2017-5647 | MySQL Enterprise Monitor | Monitoring: Server (Apache Tomcat) | HTTP über TLS | Ja | 7.5 | Netzwerk | Niedrig |
CVE-2017-3633 | MySQL Server | Server: Memcached | Memcached | Ja | 6.5 | Netzwerk | Hoch |
CVE-2017-3634 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 6.5 | Netzwerk | Niedrig |
CVE-2017-3732 | MySQL-Connectoren | Connector/C (OpenSSL) | MySQL-Protokoll | Ja | 5.9 | Netzwerk | Hoch |
CVE-2017-3732 | MySQL-Connectoren | Connector/ODBC (OpenSSL) | MySQL-Protokoll | Ja | 5.9 | Netzwerk | Hoch |
CVE-2017-3732 | MySQL Server | Server: Sicherheit: Verschlüsselung (OpenSSL) | MySQL-Protokoll | Ja | 5.9 | Netzwerk | Hoch |
CVE-2017-3635 | MySQL-Connectoren | Connector/C | MySQL-Protokoll | Nein | 5.3 | Netzwerk | Hoch |
CVE-2017-3635 | MySQL Server | C API | MySQL-Protokoll | Nein | 5.3 | Netzwerk | Hoch |
CVE-2017-3636 | MySQL Server | Client-Programme | MySQL-Protokoll | Nein | 5.3 | Lokal | Niedrig |
CVE-2017-3529 | MySQL Server | Server: UDF | MySQL-Protokoll | Nein | 5.3 | Netzwerk | Hoch |
CVE-2017-3637 | MySQL Server | X Plugin | X Protokoll | Nein | 5.3 | Netzwerk | Hoch |
CVE-2017-3639 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3640 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3641 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3643 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3644 | MySQL Server | Server: DML | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3638 | MySQL Server | Server: Optimizer | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3642 | MySQL Server | Server: Optimizer | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3645 | MySQL Server | Server: Optimizer | MySQL-Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2017-3646 | MySQL Server | X Plugin | X Protokoll | Nein | 4.9 | Netzwerk | Niedrig |
CVE-2014-1912 | MySQL Cluster | CLSTCONF (Python) | MySQL-Protokoll | Ja | 4.8 | Netzwerk | Hoch |
CVE-2017-3648 | MySQL Server | Server: Zeichensätze | MySQL-Protokoll | Nein | 4.4 | Netzwerk | Hoch |
CVE-2017-3647 | MySQL Server | Server: Replikation | MySQL-Protokoll | Nein | 4.4 | Netzwerk | Hoch |
CVE-2017-3649 | MySQL Server | Server: Replikation | MySQL-Protokoll | Nein | 4.4 | Netzwerk | Hoch |
CVE-2017-3651 | MySQL Server | Client mysqldump | MySQL-Protokoll | Nein | 4.3 | Netzwerk | Niedrig |
CVE-2017-3652 | MySQL Server | Server: DDL | MySQL-Protokoll | Nein | 4.2 | Netzwerk | Hoch |
CVE-2017-3650 | MySQL Server | C API | MySQL-Protokoll | Ja | 3.7 | Netzwerk | Hoch |
CVE-2017-3653 | MySQL Server | Server: DDL | MySQL-Protokoll | Nein | 3.1 | Netzwerk | Hoch |