Database Security Digest – Luglio 2017
Mentre il mondo attende i nuovi exploit della fuga di notizie della CIA da parte dei The Shadow Brokers, i cybercriminali sono occupati. Gli attaccanti attaccano le banche, adottano scanner di iniezione SQL semplici e veloci e iniziano a cacciare criptovalute riuscendo a rubare un camion carico di Etherium proprio durante l’ICO. Nel frattempo, tonnellate di dati personali vengono divulgati e un mucchio di vulnerabilità di sicurezza viene corretto da Oracle e SAP. Ti presentiamo un rapido digest degli ultimi eventi di sicurezza dei database.
Dirottamento e furto
Sconosciuti hanno hackerato CoinDash, una piattaforma di gestione di cripto asset. I criminali hanno inserito l’indirizzo fraudolento di Etherium e hanno ottenuto $ 7,7 milioni in criptovaluta. L’attacco è avvenuto durante i 15 minuti precedenti alle procedure ICO pubbliche. CoinDash mantiene la testa alta e indaga sull’incidente affermando che gli investitori verranno comunque accreditati.
Nuove minacce
The Shadow Brokers, famosi per aver diffuso vulnerabilità poi utilizzate in WannaCry e NotPetya, devono aver pubblicato un nuovo set di exploit per coloro che si sono abbonati a 21.000 dollari al mese. Inoltre, hanno promesso di pubblicare ulteriori fughe di dati incluse informazioni su missili nucleari. Sembra divertente.
C’è anche una nuova pubblicazione di WikiLeaks su tre presunti strumenti di hacking della CIA (Achilles, Aeris e SeaPea). Gli strumenti mirano a trojanizzare gli installer DMG di macOS, impiantare malware per sistemi POSIX e mantenere infezioni su sistemi Mac OS X tra i riavvii di sistema.
Scanner SQL Injection Talentuoso
La ricerca di vulnerabilità di iniezione SQL diventa più veloce e semplice grazie a uno scanner di iniezione SQL chiamato Katyusha Scanner gestito tramite il messenger Telegram o interfaccia web. Si basa su uno strumento di test di penetrazione open-source Arachni Scanner. La velocità della scansione è significativa. Lo strumento abilita anche la scansione di un elenco di siti web invece di esaminarli uno per uno. Una volta rilevato il sito vulnerabile, Katyusha può automaticamente sfruttare la falla, fornire una shell web o scaricare i database. Secondo gli annunci, lo strumento può essere utilizzato anche per scansionare ed esportare credenziali email/password e attacchi di forza bruta di login. Supporta il rilevamento basato su errori, iniezione SQL cieca tramite attacchi temporizzati e tecniche di analisi differenziale per una vasta gamma di RDBMS.
Lo strumento è diventato piuttosto popolare, ora le versioni Pro e Lite del servizio costano $ 500 e $ 250, o $ 200 per la licenza mensile.
Archiviazione AWS mal configurata
I server di archiviazione Amazon Web Services mal configurati stanno perdendo dati. Verizon ha esposto numeri di telefono, nomi e alcuni codici PIN di 6 milioni di clienti. All’inizio di questo mese, una società di wrestling professionistico WWE ha notificato che dati personali di 3 milioni di account sono stati esposti online. In entrambi i casi, i dati erano archiviati su bucket AWS Simple Storage Service (S3). La perdita è avvenuta a causa di una configurazione errata del privilegio di accesso sui bucket. Le impostazioni dei privilegi possono essere modificate qui.
Violazione di una Banca
La più grande banca italiana UniCredit è stata hackerata ed ha esposto dati personali e numeri di conto bancario internazionale (IBAN) di 400.000 richiedenti prestiti. La violazione è stata rilevata solo ora ma la compromissione iniziale è avvenuta dieci mesi fa.
Patching di Sicurezza SAP
SAP ha rilasciato una patch che corregge falle di sicurezza in quasi una dozzina di prodotti, incluso una vulnerabilità di denial of service in SAP Host Agent progettata per monitorare istanze SAP, database e sistemi operativi. La falla riguarda HANA 1, HANA 2 e permette a un attaccante di riavviare l’agente da remoto senza autorizzazione tramite una richiesta SOAP malevola.
Un’altra falla critica è stata trovata nella soluzione client/server point-of-sale (PoS) di SAP. Permette a un attaccante di accedere a un servizio senza autorizzazione a causa di una serie di controlli di autorizzazione mancanti.
Falle di Kerberos
CVE-2017-8495 CVSS 3 Severity Score: 8.1 Una vulnerabilità di elevazione dei privilegi su varie versioni del sistema operativo Windows che si verifica a causa del fallback di Kerberos al protocollo di autenticazione NTLM come protocollo di autenticazione predefinito. Lo sfruttamento non richiede autenticazione e può essere eseguito da remoto.
CVE-2017-8495 CVSS 3 Severity Score: 7.5 Una vulnerabilità nel protocollo di autenticazione Kerberos su varie versioni di Windows OS che consente a un attaccante di bypassare la funzione di protezione estesa per l’autenticazione quando Kerberos non riesce a prevenire la manomissione del campo SNAME durante lo scambio di ticket.
Aggiornamento Critico di Patch Oracle
Aggiornamento Critico di Patch Oracle contiene 308 correzioni di sicurezza tra cui 5 per Oracle Database Server e 30 per Oracle MySQL.
Vulnerabilità di Oracle Database Server
CVE# | Componente | Pacchetto e/o Privilegio Richiesto | Protocollo | Exploitable Remotamente senza Autenticazione | Punteggio CVSS 3 | Vettore di Attacco | Complessità dell’Attacco |
CVE-2017-10202 | OJVM | Create Session, Create Procedure | Multiple | No | 9.9 | Rete | Bassa |
CVE-2014-3566 | DBMS_LDAP | Nessuno | LDAP | Sì | 6.8 | Rete | Alta |
CVE-2016-2183 | Real Application Clusters | Nessuno | SSL/TLS | Sì | 6.8 | Rete | Alta |
CVE-2017-10120 | Sicurezza RDBMS | Create Session, Select Any Dictionary | Oracle Net | No | 1.9 | Locale | Alta |
CVE-2016-3092 | Oracle REST Data Services | Nessuno | Multiple | Sì | 7.5 | Rete | Bassa |
Vulnerabilità di Oracle MySQL
CVE# | Componente | Pacchetto e/o Privilegio Richiesto | Protocollo | Exploitable Remotamente senza Autenticazione | Punteggio CVSS 3 | Vettore di Attacco | Complessità dell’Attacco |
CVE-2016-4436 | MySQL Enterprise Monitor | Monitor: Generale (Apache Struts 2) | HTTP su TLS | Sì | 9.8 | Rete | Bassa |
CVE-2017-5651 | MySQL Enterprise Monitor | Monitoraggio: Server (Apache Tomcat) | HTTP su TLS | Sì | 9.8 | Rete | Bassa |
CVE-2017-5647 | MySQL Enterprise Monitor | Monitoraggio: Server (Apache Tomcat) | HTTP su TLS | Sì | 7.5 | Rete | Bassa |
CVE-2017-3633 | MySQL Server | Server: Memcached | Memcached | Sì | 6.5 | Rete | Alta |
CVE-2017-3634 | MySQL Server | Server: DML | MySQL Protocol | No | 6.5 | Rete | Bassa |
CVE-2017-3732 | MySQL Connectors | Connector/C (OpenSSL) | MySQL Protocol | Sì | 5.9 | Rete | Alta |
CVE-2017-3732 | MySQL Connectors | Connector/ODBC (OpenSSL) | MySQL Protocol | Sì | 5.9 | Rete | Alta |
CVE-2017-3732 | MySQL Server | Server: Sicurezza: Crittografia (OpenSSL) | MySQL Protocol | Sì | 5.9 | Rete | Alta |
CVE-2017-3635 | MySQL Connectors | Connector/C | MySQL Protocol | No | 5.3 | Rete | Alta |
CVE-2017-3635 | MySQL Server | C API | MySQL Protocol | No | 5.3 | Rete | Alta |
CVE-2017-3636 | MySQL Server | Programmi client | MySQL Protocol | No | 5.3 | Locale | Bassa |
CVE-2017-3529 | MySQL Server | Server: UDF | MySQL Protocol | No | 5.3 | Rete | Alta |
CVE-2017-3637 | MySQL Server | X Plugin | X Protocol | No | 5.3 | Rete | Alta |
CVE-2017-3639 | MySQL Server | Server: DML | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3640 | MySQL Server | Server: DML | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3641 | MySQL Server | Server: DML | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3643 | MySQL Server | Server: DML | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3644 | MySQL Server | Server: DML | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3638 | MySQL Server | Server: Ottimizzatore | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3642 | MySQL Server | Server: Ottimizzatore | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3645 | MySQL Server | Server: Ottimizzatore | MySQL Protocol | No | 4.9 | Rete | Bassa |
CVE-2017-3646 | MySQL Server | X Plugin | X Protocol | No | 4.9 | Rete | Bassa |
CVE-2014-1912 | MySQL Cluster | CLSTCONF (Python) | MySQL Protocol | Sì | 4.8 | Rete | Alta |
CVE-2017-3648 | MySQL Server | Server: Set di caratteri | MySQL Protocol | No | 4.4 | Rete | Alta |
CVE-2017-3647 | MySQL Server | Server: Replica | MySQL Protocol | No | 4.4 | Rete | Alta |
CVE-2017-3649 | MySQL Server | Server: Replica | MySQL Protocol | No | 4.4 | Rete | Alta |
CVE-2017-3651 | MySQL Server | Client mysqldump | MySQL Protocol | No | 4.3 | Rete | Bassa |
CVE-2017-3652 | MySQL Server | Server: DDL | MySQL Protocol | No | 4.2 | Rete | Alta |
CVE-2017-3650 | MySQL Server | C API | MySQL Protocol | Sì | 3.7 | Rete | Alta |
CVE-2017-3653 | MySQL Server | Server: DDL | MySQL Protocol | No | 3.1 | Rete | Alta |