Datenbank-Sicherheitsdigest – August 2017
Vorfälle in der Datenbanksicherheit
Der Händler für gebrauchte Hardware und Software, CeX, hat eine Sicherheitsverletzung erlitten, bei der persönliche Daten von bis zu 2 Millionen Kunden kompromittiert wurden, darunter Namen, physische und E-Mail-Adressen, Telefonnummern und möglicherweise die verschlüsselten Daten von abgelaufenen Kreditkarten bis 2009, dem Zeitpunkt, als CeX gestoppt hat, Finanzdaten zu speichern.
Eine Reihe von persönlichen Daten von Wählern wurde offengelegt durch einen Anbieter von Wahlverwaltungssystemen und Wahlmaschinen, Election Systems & Software. Standardmäßig erfordern Amazon-Buckets eine Authentifizierung, aber irgendwie gelang es ihnen, ein Amazon-Bucket falsch zu konfigurieren, das eine Sicherungsdatenbank mit 1,8 Millionen Datensätzen (Namen, Adressen, Geburtsdaten, Führerscheinnummer, Sozialversicherungsnummern und staatliche Identifikationsnummern) enthielt.
Ein weiteres Beispiel für das Fehlen einer Cybersicherheitsorganisation ist die Literaturagentur Bell Lomax Moreton, die Tausende von sensiblen Dateien offenlegt, darunter Kundendaten, Tantiemenzahlungen und sogar unveröffentlichte Bücher. Die Daten wurden online auf einem falsch konfigurierten Sicherungslaufwerk offengelegt, das keinen Benutzernamen und kein Passwort zum Anzeigen sensibler Daten des Unternehmens benötigte.
Eine Firma namens Power Quality Engineering hat sensible Daten öffentlich offengelegt, darunter potenzielle Schwachstellen von Kunden-Elektrosystemen sowie die Konfigurationen und Standorte einiger streng geheimer Nachrichtentransmissionszonen. Das Leck entstand durch den offenen Port, der von einem Remote-Synchronisationsdienstprogramm rsync verwendet wurde.
Eine massive Malware-Kampagne führte zu einem Einbruch von über 711 Millionen E-Mail-Datensätzen, einschließlich Passwörtern. Der Dump wurde auf einem öffentlich zugänglichen und ungesicherten Server in den Niederlanden gefunden. Die gestohlenen Datensätze scheinen aus älteren Datenverletzungen zu stammen.
Ein unbekannter Hacker behauptet, 11 Millionen Datensätze aus der Datenbank gestohlen zu haben, die persönliche Daten von Kunden des National Health Service enthält, indem er ungepatchte Softwarefehler ausnutzt. Die Cybersicherheitsbehörden des NHS berichteten jedoch, dass nur 35.501 Zeilen administrativer Daten zugriffen wurden. Die Untersuchung läuft noch.
Die Kryptowährungs-Investitions- und Handelsplattform Enigma wurde gehackt, unmittelbar vor einem Krypto-Token-Verkauf während des ICO-Vorverkaufs. Hacker erstellten eine gefälschte ETH-Adresse und spamten Enigmas Slack-Kanal und E-Mail-Newsletter für Vorverkaufsmünzen. Die Benutzer wurden dazu verleitet, etwa 500.000 $ an die gefälschte ETH-Adresse zu senden. Der Vorfall ähnelt dem CoinDash-Angriff, der im Vormonat stattfand.
WikiLeaks hat eine weitere Reihe von CIA-Dokumenten veröffentlicht mit Details zu dem Programm „ExpressLane“ der Behörde, das angeblich zur Sammlung biometrischer Daten vom FBI, der NSA, dem Heimatschutzministerium und einigen anderen US-Agenturen entwickelt wurde.
Fancy Bear, eine angeblich mit dem Kreml verbundene Hackergruppe, hat die Namen britischer Fußballspieler enthüllt, die 2015 Dopingtests nicht bestanden haben und die während der Weltmeisterschaft 2010 verbotene Medikamente verwenden durften.
Sicherheitslücken in der Datenbanksicherheit und RDBMS-Updates
PostgreSQL
CVE-2017-7548 CVSS v3 Basisscore: 7.5 Beschreibung: Ein Autorisierungsfehler in PostgreSQL-Versionen vor 9.4.13, 9.5.8 und 9.6.4, der es einem Angreifer ohne Berechtigungen für große Objekte ermöglicht, den Inhalt des Objekts zu überschreiben und so einen Denial-of-Service zu verursachen. Es kann über das Netzwerk ausgenutzt werden und erfordert Authentifizierung.
CVE-2017-7547 CVSS v3 Basisscore: 8.8 Betroffene Versionen: PostgreSQL-Versionen vor 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Beschreibung: Ein Autorisierungsfehler, der es einem Angreifer ermöglicht, Passwörter aus den von ausländischen Serverbesitzern definierten Benutzerzuordnungen abzurufen. Es ist aus der Ferne ausnutzbar mit Authentifizierung.
CVE-2017-7546 CVSS-Schweregrad: 9.8 Betroffene Versionen: PostgreSQL-Versionen vor 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Beschreibung: Ein fehlerhafter Authentifizierungsfehler, der es einem entfernten Angreifer ermöglicht, ohne zugewiesene Passwörter auf Datenbankkonten zuzugreifen. Die Schwachstelle ist aus der Ferne ausnutzbar ohne Authentifizierung.
MS SQL Server
CVE-2017-8516 CVSS-Schweregrad: 7.5 Betroffene Versionen: Microsoft SQL Server 2012, Microsoft SQL Server 2014, Microsoft SQL Server 2016 Beschreibung: Microsoft SQL Server Analysis Services ermöglicht eine Informationsoffenlegungs-Schwachstelle, wenn es Berechtigungen nicht ordnungsgemäß durchsetzt. Aus der Ferne ausnutzbar ohne Authentifizierung.
Microsoft Azure, SAP HANA
CVSS-Schweregrad: 5.4
Betroffene Versionen: Microsoft Azure vor 2016 R2 SP1, SAP HANA vor 2017, Business Analytics vor 2016 R2.
Beschreibung: Ein Cross-Site-Scripting-Problem im OSIsoft PI Integrator. Durch erfolgreiches Ausnutzen kann ein Angreifer ein bösartiges Skript hochladen, das Benutzer auf eine bösartige Website weiterleitet. Die Schwachstelle ist aus der Ferne ausnutzbar und erfordert Authentifizierung.
RDBMS-Updates
Greenplum-Datenbank 4.3.16.1 Release. Eine neue Version der Pivotal-Greenplum-Datenbank unterstützt das S3-Protokoll für Proxies, außerdem enthält es jetzt Open-Source-Datenwissenschafts-Python-Module und R-Bibliotheken, die optional installiert werden können. Der Abfrageverarbeitungsdispatcher der Greenplum-Datenbank wurde verbessert, jetzt wählt er eine zufällige Segmentinstanz als Einzel-Reader-Gang für die Datenkonsolidierung und -verteilung aus. Es hilft, die Last zu verteilen und so die Leistung zu steigern.
Percona-Server-5.7.19-17 Release basiert auf MySQL 5.7.19 und enthält alle darin enthaltenen Fehlerbehebungen.
Datenbank-Sicherheitsdigest – Juli Datenbank-Sicherheitsdigest – Juni Datenbank-Sicherheitsdigest – Mai