Database Security Digest – Agosto 2017
Incidenti di Sicurezza del Database
Il rivenditore di hardware e software usato CeX ha subito una violazione della sicurezza compromettendo i dati personali di fino a 2 milioni di clienti, inclusi nomi, indirizzi fisici ed email, numeri di telefono, e possibilmente i dati criptati delle carte di credito scadute fino al 2009, quando CeX ha smesso di archiviare i dati finanziari.
Un insieme di dati personali degli elettori è stato esposto da un fornitore di sistemi di gestione elettorale e macchine per il voto Election Systems & Software. Per impostazione predefinita, i contenitori Amazon richiedono l’autenticazione, ma in qualche modo sono riusciti a configurare male un contenitore Amazon che contiene un database di backup con 1,8 milioni di record (nomi, indirizzi, data di nascita, patente di guida, numeri di sicurezza sociale e numeri di identificazione dello stato).
Un altro esempio della mancanza di organizzazione della cybersecurity è un’agenzia letteraria Bell Lomax Moreton che ha esposto migliaia di file sensibili tra cui i dati dei clienti, i pagamenti dei diritti d’autore e persino i libri non pubblicati. I dati sono stati lasciati esposti online su un’unità di backup configurata male che non richiedeva nome utente e password per visualizzare i dati sensibili dell’azienda.
Un’azienda chiamata Power Quality Engineering ha esposto pubblicamente dati sensibili, inclusi potenziali punti deboli dei sistemi elettrici dei clienti, nonché le configurazioni e le posizioni di alcune zone di trasmissione di intelligence top secret. La fuga di dati è avvenuta a causa della porta aperta utilizzata da un’utility di sincronizzazione remota rsync.
Una massiccia campagna di malware ha portato al furto di oltre 711 milioni di registrazioni email, inclusi password. Il dump è stato trovato su un server pubblicamente accessibile e non protetto ospitato nei Paesi Bassi. I registri rubati sembrano essere stati ottenuti da precedenti violazioni dei dati.
Un hacker sconosciuto afferma di aver rubato 11 milioni di record dal database contenente i dati personali dei clienti del National Health Service sfruttando bug software non aggiornati. Tuttavia, le autorità per la sicurezza informatica del NHS hanno riferito che solo 35.501 righe di dati amministrativi sono state accessibili. L’indagine è ancora in corso.
La piattaforma di investimento e trading di criptovaluta Enigma è stata hackerata proprio prima di una vendita di token crittografici durante la prevendita dell’ICO. Gli hacker hanno creato un falso indirizzo ETH e hanno spammato il canale Slack di Enigma e la newsletter via email per le monete della prevendita. Gli utenti sono stati ingannati a inviare circa $500.000 all’indirizzo ETH falso. L’incidente è molto simile all’attacco CoinDash avvenuto il mese precedente.
WikiLeaks ha pubblicato un altro set di documenti della CIA con dettagli sul programma dell’agenzia ”ExpressLane” che è stato sviluppato presumibilmente per raccogliere dati biometrici da FBI, NSA, Dipartimento della Sicurezza Interna e alcune altre agenzie statunitensi.
Fancy Bear, un gruppo di hacker presumibilmente legato al Cremlino, ha esposto i nomi dei calciatori britannici che hanno fallito i test antidoping nel 2015 e che sono stati autorizzati ad usare medicine proibite durante la Coppa del Mondo 2010.
Vulnerabilità della Sicurezza del Database e Aggiornamenti RDBMS
PostgreSQL
CVE-2017-7548 Punteggio Base CVSS v3: 7.5 Descrizione: Una falla di autorizzazione in PostgreSQL versioni precedenti alla 9.4.13, 9.5.8 e 9.6.4 che permette a un attaccante senza privilegi su grandi oggetti di riscrivere il contenuto dell’oggetto causando un denial of service. Può essere sfruttata tramite rete e richiede autenticazione.
CVE-2017-7547 Punteggio Base CVSS v3: 8.8 Versioni Interessate: PostgreSQL versioni precedenti alla 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Descrizione: Una falla di autorizzazione che permette a un attaccante di recuperare le password dalle mappe utente definite dai proprietari di server esterni. È sfruttabile da remoto con autenticazione.
CVE-2017-7546 Punteggio di Gravità CVSS: 9.8 Versioni Interessate: PostgreSQL versioni precedenti alla 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Descrizione: Una falla di autenticazione incorretta che permette a un attaccante remoto di ottenere l’accesso agli account del database senza le password assegnate. La vulnerabilità è sfruttabile da remoto senza autenticazione.
MS SQL Server
CVE-2017-8516 Punteggio di Gravità CVSS: 7.5 Versioni Interessate: Microsoft SQL Server 2012, Microsoft SQL Server 2014, Microsoft SQL Server 2016 Descrizione: Microsoft SQL Server Analysis Services consente una vulnerabilità di divulgazione delle informazioni quando applica impropriamente le autorizzazioni. Sfruttabile da remoto senza autenticazione.
Microsoft Azure, SAP HANA
Punteggio di Gravità CVSS: 5.4
Versioni Interessate: Microsoft Azure prima del 2016 R2 SP1, SAP HANA prima del 2017, Business Analytics prima del 2016 R2.
Descrizione: Un problema di Cross-Site Scripting in OSIsoft PI Integrator. Lo sfruttamento riuscito consente a un attaccante di caricare uno script dannoso che reindirizza gli utenti a un sito web dannoso. La vulnerabilità è sfruttabile da remoto, richiede autenticazione.
Aggiornamenti RDBMS
Versione 4.3.16.1 del Greenplum Database. Una nuova versione di Pivotal Greenplum Database supporta il protocollo s3 per i proxy, inoltre ora contiene moduli Python per la scienza dei dati open source e librerie R che possono essere installati opzionalmente. Il dispatcher di elaborazione delle interrogazioni del database Greenplum è stato migliorato, ora seleziona un’istanza di segmento casuale come gruppo di lettura singolo per la consolidazione e la distribuzione dei dati. Questo aiuta a distribuire il carico e quindi ad aumentare le prestazioni.
Percona-Server-5.7.19-17 è basato su MySQL 5.7.19 e include tutte le correzioni di bug.
Database Security Digest – Luglio Database Security Digest – Giugno Database Security Digest – Maggio