Digest de Seguridad de Bases de Datos – Mayo 2017
Bueno, este mes ha sido extremadamente ocupado para los hackers y los que lucharon contra ellos. Aquí está el resumen rápido de noticias de seguridad de bases de datos de mayo de 2017.
Shadow Brokers, WannaCry, la NSA y Ciber-Catástrofes Globales
Comencemos con el equipo de hackers Shadow Brokers y su publicación mencionada en el digest anterior de exploits para Windows OS y otros sistemas supuestamente obtenidos de la fuga de datos de la Agencia de Seguridad Nacional. Esto tuvo consecuencias tremendas en todo el mundo ya que algunos de los exploits publicados se han utilizado para la creación del infame WannaCry, ese malvado cryptoworm que infectó más de 400,000 máquinas.
WannaCry apunta a computadoras con Microsoft Windows (el 98% de las víctimas usa Windows 7). Utiliza el exploit EternalBlue filtrado de la NSA para ingresar a una computadora aprovechando una vulnerabilidad en el protocolo Server Message Block (SMB). Luego instala el software DoublePulsar que descarga y ejecuta el script WannaCry para cifrar todos los datos en tu máquina. Finalmente, después de exigir un pago de unos $300 en bitcoin, te hace querer llorar, ya que no hay garantía de que los datos se descifrarán después de pagar la factura.
Según el análisis de notas de rescate, los expertos en lingüística han concluido que los criminales son fluidos en chino. Las transacciones de bitcoin mantienen a sus usuarios anónimos pero también son rastreables, cada transacción se escribe en un libro de contabilidad pública llamado blockchain. Se utilizan tres monederos para recibir pagos de rescate, hasta el 25 de mayo se han transferido $126,742. Sin embargo, a los criminales les será difícil usarlos porque los profesionales de la seguridad de la información están vigilando estos tres monederos las 24 horas del día.
Y de vuelta a Shadow Brokers que hicieron que ocurriera ese horrible desastre. Han anunciado un servicio de suscripción mensual para nuevos exploits obtenidos de la NSA. La suscripción costará aproximadamente $23,000. Se espera que el primer volcado sea en la primera mitad de julio y quién sabe qué más habrá. Entonces, ¿deberíamos preocuparnos por desastres cibernéticos futuros? Sí, deberíamos.
Amenaza Samba
Otra amenaza para el almacenamiento pacífico de tus datos. Más de 100,000 computadoras son actualmente susceptibles a la vulnerabilidad de ejecución remota de código (CVE-2017-7494) en Samba, un estándar de red popular que se usa para la interoperabilidad entre sistemas Unix, Linux y Microsoft Windows. La vulnerabilidad crítica ha existido desde marzo de 2010. Permite a un usuario malicioso cargar una biblioteca compartida en un recurso compartido escribible y hacer que el servidor la ejecute. Puede usarse como WannaCry para lanzar un worm que se propague por las redes afectando a sistemas Linux y Unix. Es muy fácil de explotar, solo requiere un script de una línea para ser explotado.
Por suerte, las organizaciones pueden mitigar los riesgos. Para estar seguros, las organizaciones deben configurar su firewall para restringir el tráfico de red SMB/Samba directamente desde Internet a sus activos.
Otras Brechas de Datos
Un tipo anónimo publicó una base de datos gigante con más de 560 millones de correos electrónicos y contraseñas recopilados de varias fuentes, incluidas Linkedin, Last.fm, MySpace, Dropbox, Tumblr, Adobe, Neopets y otros. Los datos se filtraron hace un tiempo, el hombre solo recopiló 75 gigabytes de datos sensibles flotando libremente.
El sitio de citas PureMatrimony.com ha alertado a sus usuarios sobre una posible brecha de datos. Se han encontrado en línea 120,000 contraseñas hashed. Las contraseñas filtradas se han cifrado con el algoritmo MD5, que es una solución de cifrado de datos muy poco inteligente. Se considera débil e inadecuada para su uso desde hace una década. Eso significa que los hackers pueden obtener fácilmente las contraseñas reales de los usuarios. PureMatrimony ha trasladado la responsabilidad de la fuga a un proveedor de servicios de terceros.
DaFont, repositorio y sitio de descargas de fuentes, ha sido violado. Se han filtrado 699K registros de cuentas, incluidas contraseñas hashed con MD5. El 98% de las contraseñas ya están descifradas. La brecha ocurrió debido a una vulnerabilidad de inyección SQL explotada por múltiples partes.
La guía de restaurantes en línea más grande de India Zomato ha confirmado que ha sido violada. Se han robado casi 17 millones de nombres de usuario y contraseñas hashed. Según la compañía, las contraseñas son difíciles de descifrar y la información de tarjetas de crédito y pago se almacena en una base de datos separada compatible con PCI DSS. El equipo de Zomato está escaneando activamente todos los posibles vectores de brecha y sospecha de un trabajo interno.
El 31 de mayo Kmart anunció que ha descubierto una brecha de seguridad en sus sistemas de tarjeta de pago de las tiendas, comprometiendo los números de tarjetas de crédito de los clientes. Sus sistemas de datos de pago estaban infectados con un procesador de código malicioso invisible para los sistemas antivirus actuales. Ya se han informado actividades no autorizadas con tarjetas de crédito.
La empresa canadiense de telecomunicaciones Bell ha sido hackeada. Su base de datos de suscriptores de clientes, incluyendo casi 2 millones de direcciones de correo electrónico, 1,700 números de teléfono y nombres, ha sido comprometida.
Vulnerabilidades de Seguridad de Bases de Datos Frescas y Actualizaciones de RDBMS
PostgreSQL
CVE-2015-6817 Puntuación de Severidad CVSS: 8.1 Cuando PgBouncer está configurado con el parámetro auth_user, permite a un atacante remoto obtener acceso como el auth_user a través de un nombre de usuario desconocido.
CVE-2017-7486 Puntuación de Severidad CVSS: 7.5 Las versiones de PostgreSQL 8.4-9.6 son vulnerables a la fuga de datos en la vista pg_user_mappings que divulga contraseñas de servidores externos a cualquier usuario que tenga privilegio de USO en los servidores asociados.
CVE-2017-7485 Puntuación de Severidad CVSS: 5.9 La variable de entorno PGREQUIRESSL ya no está haciendo cumplir las conexiones SSL/TLS a los servidores PostgreSQL. Eso podría usarse en un ataque Man-In-The-Middle para eliminar la protección SSL/TLS de la conexión entre un servidor y un cliente.
CVE-2017-7484 Puntuación de Severidad CVSS: 7.5 Resultó que no había verificación de privilegios de usuario para acceder al catálogo pg_statistic, lo que podría causar una fuga de datos. Un usuario sin privilegios podría robar información de las tablas a las que no tiene permitido acceder.
Teradata
CVE-2015-5401 Puntuación de Severidad CVSS: 7.5 Teradata Gateway y TDExpress permiten a un atacante remoto causar una denegación de servicio a través de un mensaje CONFIG REQUEST corrupto.
Apache Hive
CVE-2016-3083 Una vulnerabilidad en el apretón de manos SSL para conexiones TCP/HTTP que ocurre al validar el certificado del servidor. Un cliente JDBC envía una solicitud SSL al servidor xyz.com, y el servidor responde con un certificado válido emitido para abc.com, el cliente acepta eso como un certificado válido y el apretón de manos SSL se completará.
SAP HANA
CVE-2017-8915 Si Sinopia (servidor npm privado/caching) se usa en SAP HANA, permite a atacantes remotos causar una denegación de servicio (falla del servicio y fallo de aserción) enviando un paquete con un nombre de archivo que contiene signos $ o %.
CVE-2017-8914 Otro fallo en la integración con Sinopia. Permite a atacantes remotos secuestrar paquetes npm o alojar archivos arbitrarios explotando una política de creación de usuarios insegura.
Actualizaciones de RDBMS
MariaDB 10.2.6
- Se agregó el motor de almacenamiento MyRocks alpha;
- Expresiones de Tabla Común Recursivas;
- Complemento de Gestión de Claves AWS agregado para paquetes de Windows, CentOS, RHEL y Fedora;
- Se agregaron Paquetes para Ubuntu 17.04 Zesty;
- Se agregó la opción –add-drop-trigger a mysqldump;
- Numerosas correcciones de cifrado;
- Desfragmentación deshabilitada;
- Se agregó soporte para OpenSSL 1.1 y LibreSSL;
- Se introdujeron las variables innodb_deadlock_detect y innodb_stats_include_delete_marked;
Percona Server 5.7.18-15
La nueva versión de Percona soluciona dos fallos en el servidor. Uno ocurre al consultar una tabla de partición con una sola partición. Otro fallo ocurre al ejecutar una consulta en una tabla InnoDB con ngram_full-text_parser y una cláusula LIMIT.
PostgreSQL 9.6.3
- La visibilidad de pg_user_mappings.umoptions está restringida para proteger contraseñas almacenadas como opciones de asignación abordando CVE-2017-7486. Nota que el parche soluciona el problema solo en nuevas bases de datos. Para aplicar el cambio a bases de datos existentes necesitas realizar varios pasos definidos en las Notas de la Versión.
- Se corrigió la exposición de información estadística a través de operadores filtrados abordando CVE-2017-7484.
- Se restableció el reconocimiento de la variable de entorno PGREQUIRESSL por parte de libpq abordando CVE-2017-7485.
Greenplum Database 4.3.14.0
La nueva Base de Datos Greenplum tiene más características obsoletas que nuevas.
- Se agregó soporte para NetBackup 7.7 y operaciones de restauración con las utilidades gpdbcrondump y gpdbrestore.
- El soporte de Greenplum Database para el Estándar de Procesamiento de Información Federal (FIPS) en la extensión pgcrypto está en desuso.
- El tipo de interconexión UDP ha sido eliminado. Solo se admiten los tipos de interconexión TCP y UDPIFC.
Digest de Seguridad de Bases de Datos – Abril Digest de Seguridad de Bases de Datos – Marzo Digest de Seguridad de Bases de Datos – Febrero