Digest Sicurezza Database per Agosto 2017
Incidenti di Sicurezza nel Database
Il rivenditore di hardware e software di seconda mano CeX ha subito una violazione della sicurezza compromettendo i dati personali di fino a 2 milioni di clienti, inclusi nomi, indirizzi fisici ed email, numeri di telefono, e possibilmente i dati criptati delle carte di credito scadute fino al 2009, anno in cui CeX ha smesso di memorizzare dati finanziari.
Un insieme di dati personali degli elettori è stato esposto da un fornitore di sistemi di gestione elettorale e macchine per il voto Election Systems & Software. Di default, i bucket Amazon richiedono autenticazione, ma in qualche modo sono riusciti a configurare erroneamente un bucket Amazon contenente un database di backup con 1.8 milioni di record (nomi, indirizzi, date di nascita, numeri di patente, numeri di previdenza sociale e numeri di identificazione statale).
Un altro esempio della mancanza di organizzazione nella cybersecurity è un’agenzia letteraria Bell Lomax Moreton che ha esposto migliaia di file sensibili inclusi dati dei clienti, pagamenti delle royalties e persino libri non pubblicati. I dati erano lasciati esposti online su un drive di backup mal configurato che non richiedeva nome utente e password per visualizzare i dati sensibili della compagnia.
Una compagnia chiamata Power Quality Engineering ha esposto pubblicamente dati sensibili, inclusi potenziali punti di debolezza dei sistemi elettrici dei clienti, così come configurazioni e ubicazioni di alcune zone di trasmissione di intelligence top secret. La perdita è avvenuta a causa di una porta aperta utilizzata da un’utility di sincronizzazione remota rsync.
Una massiccia campagna di malware ha portato a violazioni di oltre 711 milioni record di email inclusi password. Il dump è stato trovato su un server pubblico accessibile e non sicuro ospitato nei Paesi Bassi. I record rubati sembrano essere ottenuti da precedenti violazioni di dati.
Un hacker sconosciuto afferma di aver rubato 11 milioni di record dal database contenente dati personali dei clienti del Servizio Sanitario Nazionale mediante l’uso di bug non patchati del software. Tuttavia le autorità di cyber sicurezza del NHS hanno riferito che solo 35.501 linee di dati amministrativi sono stati accessi. L’indagine è in corso.
La piattaforma di investimento e trading di criptovalute Enigma è stata hackerata subito prima di una vendita di token crypto durante la pre-vendita ICO. Gli hacker hanno creato un indirizzo ETH falso e spammano il canale Slack di Enigma e la newsletter via email per le monete pre-vendita. Gli utenti sono stati ingannati a inviare circa $500,000 all’indirizzo ETH falso. L’incidente è molto simile all’attacco CoinDash avvenuto il mese precedente.
WikiLeaks ha pubblicato un altro set di documenti della CIA con dettagli sul programma dell’agenzia “ExpressLane” sviluppato presumibilmente per raccogliere dati biometrici da FBI, NSA, Dipartimento della Sicurezza Interna e alcune altre agenzie statunitensi.
Fancy Bear, un gruppo di hacker presumibilmente legato al Cremlino, ha esposto i nomi dei calciatori britannici che hanno fallito i test antidroga nel 2015 e che erano stati autorizzati a usare farmaci vietati durante la Coppa del Mondo 2010.
Vulnerabilità di Sicurezza nel Database e Aggiornamenti RDBMS
PostgreSQL
CVE-2017-7548 Punteggio Base CVSS v3: 7.5 Descrizione: Un difetto di autorizzazione nelle versioni di PostgreSQL precedenti a 9.4.13, 9.5.8 e 9.6.4 che consente a un attaccante senza privilegi sui grandi oggetti di riscrivere i contenuti dell’oggetto causando un negazione del servizio. Può essere sfruttato attraverso la rete e richiede autenticazione.
CVE-2017-7547 Punteggio Base CVSS v3: 8.8 Versioni Interessate: versioni di PostgreSQL precedenti a 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Descrizione: Un difetto di autorizzazione che consente a un attaccante di recuperare password dalle mappature degli utenti definite dai proprietari di server stranieri. È sfruttabile da remoto con autenticazione.
CVE-2017-7546 Punteggio di Gravità CVSS: 9.8 Versioni Interessate: versioni di PostgreSQL precedenti a 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Descrizione: Un difetto di autenticazione errato che consente a un attaccante remoto di accedere agli account del database senza assegnazione di password. La vulnerabilità è sfruttabile da remoto senza autenticazione.
MS SQL Server
CVE-2017-8516 Punteggio di Gravità CVSS: 7.5 Versioni Interessate: Microsoft SQL Server 2012, Microsoft SQL Server 2014, Microsoft SQL Server 2016 Descrizione: Microsoft SQL Server Analysis Services consente una vulnerabilità nella divulgazione di informazioni quando applica in modo improprio i permessi. Sfruttabile da remoto senza autenticazione.
Microsoft Azure, SAP HANA
Punteggio di Gravità CVSS: 5.4
Versioni Interessate:Microsoft Azure prima di 2016 R2 SP1, SAP HANA prima di 2017, Business Analytics prima di 2016 R2.
Descrizione: Un problema di Cross-Site Scripting in OSIsoft PI Integrator. Una sfruttamento riuscito consente a un attaccante di caricare uno script dannoso che reindirizza gli utenti a un sito web dannoso. La vulnerabilità è sfruttabile da remoto e richiede autenticazione.
Aggiornamenti RDBMS
Greenplum Database 4.3.16.1 Release. Una nuova versione di Pivotal Greenplum Database supporta il protocollo s3 per i proxy, contiene anche moduli open source di data science in Python e librerie R che possono essere installati opzionalmente. Il dispatcher del processing delle query del database Greenplum è stato migliorato, ora seleziona una istanza di segmento casuale come unico gang di lettura per la consolidazione e distribuzione dei dati. Aiuta a distribuire il carico e quindi aumentare le prestazioni.
Percona-Server-5.7.19-17 il rilascio si basa su MySQL 5.7.19 and include tutte le correzioni di bug.
Digest Sicurezza Database – Luglio Digest Sicurezza Database – Giugno Digest Sicurezza Database – Maggio “`