Raccolta di Sicurezza del Database – Settembre 2017
Vi presentiamo una sintesi degli ultimi incidenti di sicurezza del database e aggiornamenti.
Violazione di Equifax
Una parte sconosciuta ha hackerato Equifax, una grande agenzia di segnalazione del credito ai consumatori che gestisce informazioni estremamente sensibili. I dati personali di 143 milioni di consumatori statunitensi sono stati compromessi, inclusi nomi, numeri di previdenza sociale, date di nascita, indirizzi e, in alcuni casi, numeri di patente di guida, almeno 209.000 credenziali di carte di credito e ulteriori PII di 182.000. Anche alcuni dati dei clienti del Regno Unito e del Canada sono stati interessati.
Equifax ha riferito che l’attacco è stato effettuato tramite lo sfruttamento di una vulnerabilità di esecuzione di codice remoto nel software server open-source Apache Struts (CVE-2017-5638). Un attaccante invia una richiesta HTTP che contiene un oggetto serializzato o un’espressione OGNL, ottenendo così la capacità di eseguire un codice arbitrario. La vulnerabilità è stata divulgata a marzo. È una vulnerabilità critica e Equifax avrebbe certamente dovuto correggerla.
Oltre ad aver permesso che si verificasse un attacco massiccio, Equifax, senza alcun motivo, ha omesso di dichiarare la violazione entro 72 ore, come richiesto dal Regolamento Generale sulla Protezione dei Dati dell’Europa. La società ha segnalato l’accaduto solo dopo 40 giorni da quando ha scoperto l’incidente.
Database AWS mal configurati continuano a perdere dati
Un fornitore globale di servizi di comunicazione BroadSoft ha lasciato 600 GB di dati esposti su due repository cloud accessibili liberamente. I file includevano dump di database SQL, log di accesso, indirizzi di fatturazione dei clienti.
TigerSwan, un appaltatore militare privato degli Stati Uniti, ha compromesso migliaia di curriculum contenenti informazioni personali di veterani militari americani.
Il conglomerato americano delle telecomunicazioni Verizon ha trapelato file aziendali riservati inclusi chiavi di decrittazione, nomi utenti e password per accedere alla rete interna di Verizon.
In tutti i casi, i dati erano memorizzati su bucket di Amazon Simple Storage Service (S3). La perdita di dati è avvenuta a causa dell’abilitazione dell’accesso pubblico ai database. La tendenza continua. Se avete dati su bucket Amazon, è meglio ricontrollare.
Rilasciato MS SQL Server 2017
La nuova versione di SQL Server contiene correzioni di bug e d’ora in poi è compatibile con Linux e macOS (via Docker). Alcune delle funzionalità (replicazione, Reporting Services, Analysing Services, Machine Learning Services) non sono ancora supportate per Linux. Altre modifiche includono:
- Miglioramenti nelle soglie di aggiornamento delle statistiche incrementali di calcolo.
- Supporto per query di grafi
- Adaptive Query Processing e Tuning Automatico per una migliore ottimizzazione delle query.
- Supporto per Python nei Machine Learning Services
Per l’elenco completo delle modifiche consultare le note di rilascio.
CVE-2017-1520 Punteggio di gravità CVSS: 3.7 Descrizione: Una vulnerabilità in IBM DB2 9.7, 10.1, 10.5 e 11.1 che consente di eseguire comandi non autorizzati attivando il database quando il tipo di autenticazione è CLIENT. Sfruttabile a distanza senza autenticazione.
CVE-2017-1519 Punteggio di gravità CVSS: 5.9 Descrizione: Vulnerabilità di negazione del servizio in IBM DB2 10.5 e 11.1. Un utente remoto senza autenticazione può interrompere il servizio per la configurazione di DB2 Connect Server con una determinata configurazione.
CVE-2017-1452 Punteggio di gravità CVSS: 7.8 Descrizione: Una vulnerabilità in IBM DB2 9.7, 10.1, 10.5, 11.1 che consente a un utente locale di elevare i privilegi e sovrascrivere i file di DB2. Sfruttabile localmente senza autenticazione.
CVE-2017-1451 Punteggio di gravità CVSS: 7.8 Descrizione: Una vulnerabilità in IBM DB2 9.7, 10.1, 10.5, 11.1 che consente a un utente locale con privilegi di proprietario dell’istanza DB2 di ottenere privilegi di root.
CVE-2017-1439 Punteggio di gravità CVSS: 6.7 Descrizione: Una vulnerabilità in IBM DB2 9.7, 10.1, 10.5, 11.1 che consente a un utente locale con privilegi di proprietario dell’istanza DB2 di ottenere privilegi di root. Sfruttabile localmente senza autenticazione.
CVE-2017-1438 Punteggio di gravità CVSS: 6.7 Descrizione: Una vulnerabilità in IBM DB2 9.7, 10.1, 10.5, 11.1 che consente a un utente locale con privilegi di proprietario dell’istanza DB2 di ottenere privilegi di root.
CVE-2017-1434 Punteggio di gravità CVSS: 4.7 Descrizione: Una vulnerabilità in IBM DB2 9.7, 10.1, 10.5, 11.1 con determinate impostazioni che consente a un utente locale non autorizzato di esporre informazioni sensibili nel log degli errori.
Raccolta di Sicurezza del Database – Agosto Raccolta di Sicurezza del Database – Luglio Raccolta di Sicurezza del Database – Giugno