Database Security Digest – Marzo 2017
Il mese scorso Gemalto ha pubblicato i risultati della loro ricerca sulle violazioni dei dati, rivelando un aumento dell’86% rispetto al 2015. Nel 2016 sono stati compromessi 1,4 miliardi di record di dati. Per tenerti aggiornato sulle ultime tendenze, abbiamo combinato le notizie del mese scorso sugli incidenti di sicurezza del database, nuove vulnerabilità e patch dei sistemi di gestione del database.
Incidenti di Sicurezza Informatica
Dopo la serie di attacchi MongoDB, l’FBI ha avvertito dell’aumento dell’attività criminale che mira ai server FTP utilizzati dalle organizzazioni mediche e dentali configurati per consentire l’accesso anonimo senza autenticazione. Gli amministratori dovrebbero garantire che EPHI (informazioni sanitarie protette elettronicamente) o PII (informazioni di identificazione personale) non siano memorizzate su server FTP dove la modalità anonima è abilitata.
Riguardo alla famosa violazione di Yahoo!, gli Stati Uniti accusano due agenti dei servizi segreti russi e due hacker russi. Uno degli accusati è stato arrestato in Canada. L’accusa sostiene che ufficiali del Centro di Sicurezza Informativa dell’FSB abbiano collaborato con criminali informatici per violare la rete di Yahoo! e accedere alle informazioni sugli account e ai dati proprietari sulla creazione di cookie utilizzati per accedere agli account Yahoo!. Secondo l’accusa, lo scopo dell’attacco non era solo la raccolta di informazioni a scopo di intelligence ma anche il guadagno finanziario privato. Nel frattempo, un milione di password degli account Yahoo! e Gmail sono in vendita sul dark web.
Neiman Marcus ha accettato di pagare 1,6 milioni di dollari per risolvere una violazione dei dati. Nel dicembre 2013, il negozio di lusso americano Neiman Marcus è stato attaccato, con conseguente esposizione delle informazioni sulle carte di credito di 350.000 suoi clienti. Quindi ora la compagnia deve pagare una fortuna per la non conformità alla legislazione sulla sicurezza informatica.
L’ABTA, l’associazione commerciale dei viaggi che rappresenta agenti di viaggio e tour operator nel Regno Unito, ha avvisato gli utenti di una violazione dei dati. Si ritiene che siano stati colpiti 43.000 dei suoi clienti. I dati rubati includono indirizzi email, password criptate dei clienti ABTA, dettagli di contatto dei clienti dei membri dell’ABTA che hanno utilizzato il sito per registrare un reclamo. Secondo l’ABTA, la maggior parte delle password erano criptate e il rischio di furto d’identità e frode online è basso.
Sicurezza del Database
Nell’ultima settimana di marzo, Percona ha annunciato il rilascio di Percona Server 5.7.17-12 basato su MySQL 5.7.17.
Il rilascio contiene correzioni di bug e crash e c’è una nuova funzione mysqldump che aiuta a eseguire backup dei server e ricaricare i file di dump. La funzione si è rivelata anche contenere una vulnerabilità che sarà menzionata più avanti.
CVE-2016-5483
Una vulnerabilità rilevata nell’utilità mysqldump di MySQL, che viene utilizzata per creare backup logici dei database. CVE-2016-5483 consente a un attaccante di eseguire query SQL arbitrarie e comandi shell, durante il ripristino del backup utilizzando l’utilità mysqldump. Per sfruttare la vulnerabilità, un aggressore deve acquisire i privilegi per creare tabelle.
MariaDB 10.1.22
Oltre a correggere alcuni problemi noti, il nuovo rilascio di MariaDB corregge due vulnerabilità di sicurezza:
CVE-2017-3313Punteggio di gravità CVSS: 4.7
Vulnerabilità localmente sfruttabile nel server MySQL (componente MyISAM). Una vulnerabilità difficile da sfruttare che consente a un attaccante con pochi privilegi e accesso al sistema dove il server MySQL è in esecuzione di compromettere il server MySQL. Un attacco riuscito può comportare l’accesso non autorizzato a dati critici o l’accesso completo a tutti i dati accessibili al server MySQL.
CVE-2017-3302Punteggio di gravità CVSS: 7.5
Vulnerabilità sfruttabile da remoto che consente di interrompere il servizio causando un crash in libmysqlclient.so. Versioni affette: MariaDB fino alla 5.5.54 e 10.0.29, Oracle MySQL prima della 5.6.21 e 5.7.5.
Nuovi Difetti di Sicurezza
Punteggio di gravità CVSS: 5.9
È stata trovata un’altra vulnerabilità in xbcrypt in Percona XtraBackup prima della 2.3.6 e 2.4.x prima della 2.4.5. Esiste a causa di una correzione incompleta per CVE-2013-6394. Lo strumento xbcrypt supporta la crittografia e la decrittografia dei backup. A quanto pare, non imposta correttamente il vettore di inizializzazione (IV) per la crittografia, consentendo agli aggressori dipendenti dal contesto di ottenere dati sensibili dai file di backup crittografati tramite un attacco a testo in chiaro scelto. La vulnerabilità è sfruttabile da remoto.
Punteggio di gravità CVSS: 3.1
Una nuova vulnerabilità rilevata in IBM DB2 consente a un aggressore autenticato di visualizzare tabelle che non è autorizzato a visualizzare. La vulnerabilità è sfruttabile da remoto e richiede autenticazione.
Patch di Sicurezza SAP HANA
SAP ha corretto una serie di vulnerabilità critiche nella sua piattaforma aziendale basata su cloud HANA. Se sfruttate, queste vulnerabilità potrebbero portare a una compromissione completa del sistema senza autenticazione. Un aggressore potrebbe rubare dati riservati nel database, interrompere processi aziendali chiave e modificare il codice HTML per siti che eseguono HANA XS, anche senza avere un nome utente o una password legittimi.
Queste vulnerabilità riguardano il componente User Self Service (USS) che consente l’autoregistrazione degli utenti, il cambio e il reset delle password. Il servizio è disabilitato di default ma alcuni utenti lo abilitano per permettere agli utenti esterni di accedere alle capacità interne.
La vulnerabilità nel USS è valutata 9.8 da CVSS, il che consente a un aggressore remoto di prendere il controllo completo di SAP HANA senza un nome utente e una password. Si raccomanda vivamente di disattivare il servizio o di applicare la patch.
Un’altra vulnerabilità, la fissazione di sessione (8.8 CVSS) consente a un attaccante di elevare i privilegi impersonando un altro utente nel sistema.
La Patch di Sicurezza di Marzo contiene anche correzioni per vulnerabilità di DoS, esecuzione di codice remoto, XSS e injection SQL di alcuni componenti. Gli sviluppatori SAP raccomandano di correggere i database HANA il prima possibile.
Database Security Digest – Febbraio Database Security Digest – Gennaio Database Security Digest – Dicembre