Digest Sicurezza Database – Maggio 2017
Bene, questo mese è stato estremamente impegnativo per gli hacker e per coloro che hanno combattuto contro di loro. Ecco un rapido digest delle notizie sulla sicurezza dei database di maggio 2017.
Shadow Brokers, WannaCry, la NSA e le Catastrofi Cibernetiche Globali
Cominciamo con il team di hacker Shadow Brokers e la loro pubblicazione di exploit per Windows OS e altri sistemi presumibilmente ottenuti dalla fuga di dati della National Security Agency, menzionata nel digest precedente. Questo ha avuto conseguenze enormi in tutto il mondo, poiché alcuni degli exploit pubblicati sono stati utilizzati per la creazione del famigerato WannaCry, quel malvagio cryptoworm che ha infettato più di 400.000 macchine.
WannaCry prende di mira i computer con Microsoft Windows (il 98% delle vittime usavano Windows 7). Utilizza l’exploit EternalBlue trapelato dalla NSA per entrare in un computer sfruttando una vulnerabilità nel protocollo Server Message Block (SMB). Poi installa il software DoublePulsar che scarica ed esegue lo script WannaCry per criptare tutti i dati sulla tua macchina. Eventualmente, dopo aver richiesto un pagamento di circa 300$ in bitcoin, ti fa venire voglia di piangere, poiché non vi è alcuna garanzia che i dati saranno decriptati dopo il pagamento.
Secondo l’analisi delle note di riscatto, gli esperti linguisti hanno concluso che i criminali sono fluenti in cinese. Le transazioni in Bitcoin mantengono gli utenti anonimi ma sono anche tracciabili, ogni transazione è scritta in un registro pubblico chiamato blockchain. Tre portafogli vengono usati per ricevere i pagamenti del riscatto, a partire dal 25 maggio sono stati trasferiti 126.742$. Tuttavia, i criminali avranno difficoltà a usarli poiché i professionisti della sicurezza delle informazioni stanno monitorando questi tre portafogli 24 ore su 24, 7 giorni su 7.
E torniamo a Shadow Brokers che hanno causato quel terribile disastro. Hanno annunciato un servizio di abbonamento mensile per nuovi exploit ottenuti dalla NSA. L’abbonamento costerà circa 23.000$. Il primo dump è previsto per la prima metà di luglio e chissà cos’altro c’è. Quindi, dobbiamo preoccuparci di imminenti disastri cibernetici? Sì, dobbiamo.
Minaccia di Samba
Un’altra minaccia per la conservazione sicura dei tuoi dati. Più di 100.000 computer sono attualmente vulnerabili alla vulnerabilità di esecuzione di codice remoto (CVE-2017-7494) in Samba, uno standard di rete popolare utilizzato per l’interoperabilità tra i sistemi Unix, Linux e Microsoft Windows. La vulnerabilità critica esiste dal marzo 2010. Permette a un utente malintenzionato di caricare una libreria condivisa su una condivisione scrivibile e causare l’esecuzione del server. Può essere utilizzato come WannaCry per lanciare un worm che si diffonderebbe attraverso le reti colpendo i sistemi Linux e Unix. È molto facile da sfruttare, richiede solo uno script di una riga per essere sfruttato.
Fortunatamente, le organizzazioni possono mitigare i rischi. Per essere al sicuro, le organizzazioni dovrebbero configurare il loro firewall per limitare il traffico di rete SMB/Samba direttamente da Internet ai propri asset.
Altri Breach dei Dati
Un tizio anonimo ha pubblicato un enorme database con più di 560 milioni di email e password raccolti da varie fonti, tra cui LinkedIn, Last.fm, MySpace, Dropbox, Tumblr, Adobe, Neopets, e altri. I dati sono trapelati da tempo, l’uomo ha solo raccolto 75 gigabyte di dati sensibili fluttuanti liberamente insieme.
Il sito di incontri PureMatrimony.com ha avvisato i suoi utenti di una possibile violazione dei dati. 120.000 password hashed sono state trovate online. Le password trapelate sono state crittografate con l’algoritmo MD5, che non è una scelta molto saggia per la crittografia dei dati. Già da un decennio è considerato debole e non idoneo per ulteriori usi. Ciò significa che gli hacker possono facilmente ottenere le vere password degli utenti. PureMatrimony ha attribuito la responsabilità della fuga a un fornitore di servizi terzo.
DaFont, un sito di repository e download di font, è stato violato. 699.000 record di account, comprese password hashed con MD5, sono stati trapelati. Il 98% delle password è già stato infranto. La violazione è avvenuta a causa di una vulnerabilità di iniezione SQL sfruttata da più parti.
La più grande guida online indiana a ristoranti Zomato ha confermato di essere stata violata. Sono stati rubati quasi 17 milioni di nomi utente e password hashed. Come afferma la compagnia, è difficile decriptare le password e le informazioni relative alle carte di credito e ai pagamenti sono archiviate in un database separato conforme agli standard PCI DSS. Il team di Zomato sta attivamente esaminando tutti i possibili vettori di violazione e sospetta un lavoro interno.
Il 31 maggio Kmart ha annunciato di aver scoperto una violazione della sicurezza nei suoi sistemi di pagamento con carta, compromettendo i numeri delle carte di credito dei clienti. I loro sistemi di dati di pagamento sono stati infettati da un processore di codice malevolo invisibile per i sistemi antivirus correnti. Ci sono già stati segnalazioni di attività non autorizzata sulle carte di credito.
La società di telecomunicazioni canadese Bell è stata violata. Il suo database degli iscritti, comprensivo di quasi 2 milioni di indirizzi email, 1.700 numeri di telefono e nomi, è stato compromesso.
Nuove Vulnerabilità della Sicurezza dei Database e Aggiornamenti RDBMS
PostgreSQL
CVE-2015-6817 CVSS Severity Score: 8.1 Quando PgBouncer è configurato con il parametro auth_user, permette a un attaccante remoto di accedere come auth_user tramite un username sconosciuto.
CVE-2017-7486 CVSS Severity Score: 7.5 Le versioni di PostgreSQL 8.4-9.6 sono vulnerabili alla perdita di dati nella vista pg_user_mappings che rivela le password del server esterno a qualsiasi utente che ha il privilegio USAGE sui server associati.
CVE-2017-7485 CVSS Severity Score: 5.9 La variabile di ambiente PGREQUIRESSL non impone più connessioni SSL/TLS ai server PostgreSQL. Questo potrebbe essere utilizzato in un attacco Man-In-The-Middle per rimuovere la protezione SSL/TLS dalla connessione tra un server e un client.
CVE-2017-7484 CVSS Severity Score: 7.5 Si è scoperto che non c’era controllo dei privilegi utente per accedere al catalogo pg_statistic, il che potrebbe causare una perdita di dati. Un utente non autorizzato potrebbe rubare alcune informazioni dalle tabelle a cui non è autorizzato ad accedere.
Teradata
CVE-2015-5401 CVSS Severity Score: 7.5 Teradata Gateway e TDExpress consentono a un attaccante remoto di causare un rifiuto di servizio tramite un messaggio di CONFIG REQUEST corrotto.
Apache Hive
CVE-2016-3083 Una vulnerabilità nella stretta di mano SSL per connessioni TCP/HTTP che si verificherebbe durante la convalida del certificato del server. Un client JDBC invia una richiesta SSL al server xyz.com, e il server risponde con un certificato valido rilasciato a abc.com, il client accetta quello come un certificato valido e la stretta di mano SSL andrà a buon fine.
SAP HANA
CVE-2017-8915 Se Sinopia (server npm privato/caching) è utilizzato in SAP HANA, consente a attaccanti remoti di causare un rifiuto di servizio (crash del servizio e errore di asserzione) inviando un pacchetto con un nome file contenente i segni $ o %.
CVE-2017-8914 Un altro difetto nell’integrazione con Sinopia. Consente a attaccanti remoti di dirottare pacchetti npm o ospitare file arbitrari sfruttando una politica insicura di creazione degli utenti.
Aggiornamenti RDBMS
MariaDB 10.2.6
- Aggiunto MyRocks alpha storage engine;
- Espressioni di Tabelle Comuni Ricorsive;
- Aggiunto plugin AWS Key Management per pacchetti Windows, CentOS, RHEL e Fedora;
- Aggiunti pacchetti per Ubuntu 17.04 Zesty;
- Opzione –add-drop-trigger aggiunta a mysqldump;
- Numerose correzioni di crittografia;
- Deframmentazione disabilitata;
- Aggiunto supporto per OpenSSL 1.1 e LibreSSL;
- Introdotte variabili innodb_deadlock_detect e innodb_stats_include_delete_marked;
Percona Server 5.7.18-15
La nuova versione di Percona risolve due crash del server. Uno si verifica quando si interroga una tabella partizionata con una singola partizione. Un altro crash si verifica quando si esegue una query su una tabella InnoDB con ngram_full-text_parser e una clausola LIMIT.
PostgreSQL 9.6.3
- La visibilità di pg_user_mappings.umoptions è stata limitata per proteggere le password memorizzate come opzioni di mapping, risolvendo CVE-2017-7486. Nota che la patch risolve il problema solo nei nuovi database. Per applicare la modifica ai database esistenti devi seguire diversi passaggi definiti nelle Note di rilascio.
- Risolto il problema per impedire l’esposizione di informazioni statistiche tramite operatori trapelanti affrontando CVE-2017-7484.
- Ripristinato il riconoscimento da parte di libpq della variabile di ambiente PGREQUIRESSL affrontando CVE-2017-7485.
Greenplum Database 4.3.14.0
Il nuovo Greenplum Database ha più funzionalità deprecate rispetto a quelle nuove.
- Aggiunto supporto per NetBackup 7.7 e operazioni di ripristino con le utility gpdbcrondump e gpdbrestore.
- Il supporto per Federal Information Processing Standard (FIPS) nell’estensione pgcrypto in Greenplum Database è deprecato.
- Il tipo di interconnect UDP è stato rimosso. Solo i tipi di interconnect TCP e UDPIFC sono supportati.
Digest Sicurezza Database – Aprile Digest Sicurezza Database – Marzo Digest Sicurezza Database – Febbraio