Digest di Sicurezza del Database – Febbraio 2017
È giunto il momento di presentarvi le ultime novità nel settore della sicurezza dei database.
Attacchi ransomware passati a MySQL
Gli attacchi ransomware su MongoDB e CouchDB mal configurati sono continuati. I ricattatori hanno anche iniziato a prendere di mira i database MySQL. Lo schema di attacco rimane piuttosto semplice: rilevare un database con impostazioni predefinite, forzare il brute-force della password ‘root’, eliminare il contenuto del database e richiedere un supporto finanziario per ripristinare i dati.
Questo tipo di attacco può essere facilmente evitato, se si applicano le misure di sicurezza di base:
- Installa l’ultima versione del tuo RDBMS.
- Non lasciare la password predefinita per gli utenti root. Assegna combinazioni di password robuste, utilizza generatori di password casuali.
- Minimizza i servizi esposti a Internet.
- Implementa strumenti di monitoraggio dell’attività per essere consapevole della situazione attuale dei tuoi server accessibili da Internet.
Vulnerabilità SQL injection in WordPress
È stata trovata una grave vulnerabilità sfruttabile da remoto nel plugin NextGEN Gallery di WordPress. Consente a un utente non autenticato di iniettare un codice SQL e recuperare dati sensibili dal database del sito web della vittima, inclusi hash delle password degli utenti di WordPress. I siti web interessati sono quelli che utilizzano NextGEN Basic TagCloud Gallery o se è permesso agli utenti di inviare post.
L’iniezione SQL è possibile a causa della convalida non valida dei parametri di query. Di conseguenza, le informazioni digitate da un utente verranno aggiunte alla query SQL senza la corretta filtrazione. La vulnerabilità è stata corretta in NextGEN Gallery 2.1.79.
Cloudflare in perdita
Cloudflare fornisce servizi di sicurezza e prestazioni Internet a milioni di siti web. Si è scoperto che il servizio CloudFlare aveva un enorme bug e stava perdendo dati sensibili da settembre 2016 a febbraio 2017.
Secondo i rapporti di Cloudflare, il problema si è verificato nel parser HTML presente nelle seguenti tre funzionalità: Riscritture automatiche HTTP, Offuscamento email, Esclusioni lato server. Il bug ha causato un overflow del buffer sui server edge, restituendo così memoria contenente informazioni private come token di autenticazione, cookie HTTP, corpi POST HTTP e alcuni altri dati critici. Tutte e tre le funzionalità che causavano la perdita di memoria sono state immediatamente disabilitate non appena la società ha notato il problema.
Tra le vittime ci sono Uber, Fitbit, OK Cupid e altri servizi basati sul web. L’impatto della perdita è considerato minimo. Cloudflare, in collaborazione con i fornitori di motori di ricerca, ha eliminato dai motori di ricerca la memoria cache contenente i dati trapelati prima di annunciare il bug. La società ha anche dichiarato che non sono state trapelate chiavi SSL dei clienti perché viene utilizzata un’istanza NGINX isolata per terminare le connessioni SSL.
SHA-1 verso l’uscita
I ricercatori di Google hanno eseguito il primo attacco pratico di collisione per la funzione hash crittografica SHA-1. L’attacco si basa sulla collisione di due file PDF. Sono riusciti a ottenere la firma digitale SHA-1 sul primo file PDF e l’hanno usata per estrarre il secondo file PDF imitando la firma.
I calcoli richiedono anni e il costo dell’attacco è stimato fino a $120.000, ma si ritiene che diminuisca in futuro. I ricercatori affermano che il loro metodo è 100.000 volte più veloce di un attacco brute-force.
Molte organizzazioni hanno già sostituito SHA-1 con SHA-2 e SHA-3 poiché l’algoritmo non è più considerato sicuro contro avversari ben finanziati. Google, Microsoft, Apple, Mozilla hanno annunciato che entro il 2017 i loro browser smetteranno di accettare certificati SSL SHA-1.
Vulnerabilità dei database e versioni dei RDBMS
CVE-2017-3302Versioni interessate: Oracle MySQL prima di 5.6.21 e 5.7.x prima di 5.7.5 e MariaDB fino a 5.5.54, 10.0.x fino a 10.0.29, 10.1.x fino a 10.1.21 e 10.2.x fino a 10.2.3 Gravità del CVSS: 7.5 Permette a un attaccante non autenticato e senza privilegi di causare il crash in libmysqlclient.so
Il rilascio di Percona Server 5.7.17-11 aggiunge due nuove funzionalità e corregge bug noti. L’elenco delle modifiche importanti è riportato di seguito:
- Supporto per la compressione VARCHAR/BLOB per colonna per l’engine di archiviazione XtraDB. Per migliorare il rapporto di compressione per le singole righe brevi come i dati JSON, è stato aggiunto il supporto al dizionario di compressione.
- La reimplementazione della funzione Kill Idle Transactions risolve i crash del server e ora può essere utilizzata in qualsiasi engine di archiviazione transazionale (TokuDB, MyRocks). Il timeout di lettura del socket di connessione è impostato invece della scansione periodica delle transazioni interne di InnoDb.
- Per evitare l’escalation dei privilegi, mysq_safe limita l’uso di rm e chown. Il comando chown può ora essere utilizzato solo per la directory /var/log.
È stato anche rilasciato Percona Server per MongoDB 3.4.
Il primo candidato al rilascio (RC) è stato rilasciato nella serie MariaDB 10.2. Per vedere le novità, consulta le note di rilascio.
PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 e 9.2.20 rilasciato. Corregge oltre 75 bug e risolve alcuni problemi noti. Di seguito sono riportati i più notevoli:
- Si è verificata una condizione di race durante l’esecuzione del comando CREATE INDEX CONCURRENTLY su una colonna che non era stata indicizzata in precedenza, che potrebbe portare alla corruzione dei dati. Il problema è stato risolto.
- Miglioramenti della stabilità dei dati visibili e del write-ahead-logging.
Digest di Sicurezza del Database – Gennaio Digest di Sicurezza del Database – Dicembre Digest di Sicurezza del Database – Novembre