DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Datenbanksicherheits-Digest – Juli 2017

Während die Welt auf die neuen Exploits des CIA-Leaks von den Shadow Brokers wartet, sind Cyberkriminelle fleißig. Angreifer hacken Banken, setzen einfache und schnelle SQL-Injection-Scanner ein und beginnen, nach Kryptowährung zu suchen, und schaffen es, während des ICO eine Ladung Etherium zu stehlen. In der Zwischenzeit wurden Tonnen von persönlichen Daten durchgesickert und zahlreiche Sicherheitslücken von Oracle und SAP gepatcht. Wir präsentieren Ihnen einen kurzen Überblick über die neuesten Ereignisse in der Datenbanksicherheit.

Hijacking und Stehlen

Eine unbekannte Partei hat CoinDash gehackt, eine Plattform zur Verwaltung von Krypto-Assets. Kriminelle haben die betrügerische Etherium-Adresse eingesetzt und während der 15 Minuten vor den öffentlichen ICO-Prozeduren 7,7 Millionen Dollar in Kryptowährung gewonnen. CoinDash bleibt trotz des Vorfalls optimistisch und betont, dass Investoren in jedem Fall eine Gutschrift erhalten werden.

Neue Bedrohungen

Die Shadow Brokers, bekannt für das Leaken von Schwachstellen, die später in WannaCry und NotPetya genutzt wurden, haben anscheinend für diejenigen, die für 21.0000 Dollar im Monat abonniert haben, einen neuen Satz von Exploits rausgehauen. Darüber hinaus haben sie versprochen, weitere Leaks zu veröffentlichen, einschließlich Daten über Atomraketen. Klingt spaßig.

Es gibt auch eine neue WikiLeaks-Publikation über drei angeblich zur CIA gehörende Hacking-Tools (Achilles, Aeris und SeaPea). Die Tools zielen darauf ab, macOS DMG-Installer zu trojanisieren, Malware für POSIX-Systeme einzupflanzen und Infektionen auf Mac OS X-Systemen zwischen System-Neustarts zu behalten.

Begabter SQL-Injection-Scanner

Die Suche nach SQL-Injection-Anfälligkeiten wird schneller und einfacher mit Hilfe eines SQL-Injection-Scanners namens Katyusha Scanner, der über den Telegram-Messenger oder das Webinterface verwaltet wird. Es basiert auf dem Open-Source-Penetrationstest-Tool Arachni Scanner. Die Geschwindigkeit des Scans ist signifikant. Das Tool ermöglicht auch das Scannen einer Liste von Websites anstelle von einzelnen Untersuchungen. Sobald eine anfällige Seite erkannt wird, kann Katyusha die Schwachstelle automatisch ausnutzen, eine Webshell liefern oder die Datenbanken dumpen. Laut Anzeigen kann das Tool auch zum Scannen und Exportieren von E-Mail/Passwort-Credentials und zum Durchführen von Brute-Force-Angriffen verwendet werden. Es unterstützt die ergebnisbasierte Erkennung, Blind-SQL-Injection unter Verwendung von Timing-Angriffen und differentialanalytischen Techniken für eine breite Palette von RDBMSs.

Das Tool hat sich ziemlich großer Beliebtheit erfreut, jetzt kosten die Pro- und Lite-Versionen des Dienstes $500 bzw. $250 oder $200 für die monatliche Lizenz.

Fehlkonfigurierter AWS-Speicher

Fehlkonfigurierte Amazon Web Services-Speicherserver leaken Daten. Verizon hat Telefonnummern, Namen und einige PIN-Codes von 6 Millionen Kunden preisgegeben. Früher in diesem Monat hat ein professionelles Wrestling-Unternehmen WWE bekannt gegeben, dass persönliche Daten von 3 Millionen Konten online einsehbar waren. In beiden Fällen wurden die Daten in AWS Simple Storage Service (S3)-Buckets gespeichert. Die Lecks entstanden durch eine Fehlkonfiguration der Berechtigungszugriffe auf die Buckets. Sie können die Berechtigungseinstellungen hier ändern.

Banken hacken

Italiens größte Bank UniCredit ist gehackt worden und hat persönliche Daten und Internationale Bankkontonummern (IBAN) von 400.000 Kreditantragstellern preisgegeben. Der Verstoß wurde erst jetzt bemerkt, die erste Kompromittierung ist jedoch bereits zehn Monate her.

SAP-Sicherheitspatch

SAP hat einen Patch veröffentlicht, der Sicherheitslücken in fast einem Dutzend Produkten behebt, einschließlich einer Denial-of-Service-Anfälligkeit im SAP Host Agent, der darauf ausgelegt ist, SAP-Instanzen, Datenbanken und Betriebssysteme zu überwachen. Die Schwachstelle betrifft HANA 1, HANA 2 und ermöglicht es einem Angreifer, den Agenten ohne Autorisierung durch eine bösartige SOAP-Anfrage ferngesteuert neu zu starten.

Eine weitere kritische Anfälligkeit wurde in SAPs Client/Server-Point-of-Sale (PoS)-Lösung gefunden. Aufgrund einer Reihe fehlender Autorisierungsprüfungen erlaubt sie einem Angreifer, ohne Autorisierung auf einen Dienst zuzugreifen.

Kerberos-Schwachstellen

CVE-2017-8495 CVSS 3-Schweregrad: 8.1
Eine Privilegien-Erhöhungsschwachstelle in verschiedenen Windows-Betriebssystemversionen entsteht, weil Kerberos das NTLM-Authentifizierungsprotokoll als Standardauthentifizierungsprotokoll verwendet. Die Ausnutzung erfordert keine Authentifizierung und kann remote durchgeführt werden.

CVE-2017-8495 CVSS 3-Schweregrad: 7.5
Eine Anfälligkeit im Kerberos-Authentifizierungsprotokoll in verschiedenen Windows-Betriebssystemversionen, die es einem Angreifer ermöglicht, die Erweiterte Schutzfunktion für die Authentifizierung zu umgehen, wenn Kerberos das Manipulieren des SNAME-Felds während des Ticket-Austauschs nicht verhindert.

Oracle Critical Patch Update

Oracle Critical Patch Update enthält 308 Sicherheitsfixes, darunter 5 für Oracle Database Server und 30 für Oracle MySQL.

Oracle Database Server-Schwachstellen

CVE#KomponenteErforderliches Paket und/oder PrivilegienProtokollRemote-Exploit ohne AutorisierungCVSS 3 ScoreAngriffsvektorAngriffskomplexität
CVE-2017-10202OJVMSession erstellen, Prozedur erstellenMehrereNein9.9NetzwerkNiedrig
CVE-2014-3566DBMS_LDAPKeinLDAPJa6.8NetzwerkHoch
CVE-2016-2183Real Application ClustersKeinSSL/TLSJa6.8NetzwerkHoch
CVE-2017-10120RDBMS-SecuritySession erstellen, Auf jedes Wörterbuch zugreifenOracle NetNein1.9LokalHoch
CVE-2016-3092Oracle REST-DatendiensteKeinMehrereJa7.5NetzwerkNiedrig

Oracle MySQL-Schwachstellen

CVE#KomponenteErforderliches Paket und/oder PrivilegienProtokollRemote-Exploit ohne AutorisierungCVSS 3 ScoreAngriffsvektorAngriffskomplexität
CVE-2016-4436MySQL Enterprise MonitorMonitor: Allgemein (Apache Struts 2)HTTP über TLSJa9.8NetzwerkNiedrig
CVE-2017-5651MySQL Enterprise MonitorMonitoring: Server (Apache Tomcat)HTTP über TLSJa9.8NetzwerkNiedrig
CVE-2017-5647MySQL Enterprise MonitorMonitoring: Server (Apache Tomcat)HTTP über TLSJa7.5NetzwerkNiedrig
CVE-2017-3633MySQL ServerServer: MemcachedMemcachedJa6.5NetzwerkHoch
CVE-2017-3634MySQL ServerServer: DMLMySQL-ProtokollNein6.5NetzwerkNiedrig
CVE-2017-3732MySQL-ConnectorenConnector/C (OpenSSL)MySQL-ProtokollJa5.9NetzwerkHoch
CVE-2017-3732MySQL-ConnectorenConnector/ODBC (OpenSSL)MySQL-ProtokollJa5.9NetzwerkHoch
CVE-2017-3732MySQL ServerServer: Sicherheit: Verschlüsselung (OpenSSL)MySQL-ProtokollJa5.9NetzwerkHoch
CVE-2017-3635MySQL-ConnectorenConnector/CMySQL-ProtokollNein5.3NetzwerkHoch
CVE-2017-3635MySQL ServerC APIMySQL-ProtokollNein5.3NetzwerkHoch
CVE-2017-3636MySQL ServerClient-ProgrammeMySQL-ProtokollNein5.3LokalNiedrig
CVE-2017-3529MySQL ServerServer: UDFMySQL-ProtokollNein5.3NetzwerkHoch
CVE-2017-3637MySQL ServerX PluginX ProtokollNein5.3NetzwerkHoch
CVE-2017-3639MySQL ServerServer: DMLMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3640MySQL ServerServer: DMLMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3641MySQL ServerServer: DMLMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3643MySQL ServerServer: DMLMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3644MySQL ServerServer: DMLMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3638MySQL ServerServer: OptimizerMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3642MySQL ServerServer: OptimizerMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3645MySQL ServerServer: OptimizerMySQL-ProtokollNein4.9NetzwerkNiedrig
CVE-2017-3646MySQL ServerX PluginX ProtokollNein4.9NetzwerkNiedrig
CVE-2014-1912MySQL ClusterCLSTCONF (Python)MySQL-ProtokollJa4.8NetzwerkHoch
CVE-2017-3648MySQL ServerServer: ZeichensätzeMySQL-ProtokollNein4.4NetzwerkHoch
CVE-2017-3647MySQL ServerServer: ReplikationMySQL-ProtokollNein4.4NetzwerkHoch
CVE-2017-3649MySQL ServerServer: ReplikationMySQL-ProtokollNein4.4NetzwerkHoch
CVE-2017-3651MySQL ServerClient mysqldumpMySQL-ProtokollNein4.3NetzwerkNiedrig
CVE-2017-3652MySQL ServerServer: DDLMySQL-ProtokollNein4.2NetzwerkHoch
CVE-2017-3650MySQL ServerC APIMySQL-ProtokollJa3.7NetzwerkHoch
CVE-2017-3653MySQL ServerServer: DDLMySQL-ProtokollNein3.1NetzwerkHoch
Datenbanksicherheits-Digest – Juni
Datenbanksicherheits-Digest – Mai
Datenbanksicherheits-Digest – April

Nächste

Datenbank-Sicherheitsdigest – August 2017

Datenbank-Sicherheitsdigest – August 2017

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]