Digest de Seguridad de Base de Datos – Agosto 2017
Incidentes de Seguridad de Base de Datos
El minorista de hardware y software de segunda mano CeX ha sufrido una brecha de seguridad comprometiendo los datos personales de hasta 2 millones de clientes, incluyendo nombres, direcciones físicas y de correo electrónico, números de teléfono y posiblemente los datos encriptados de tarjetas de crédito expiradas hasta 2009, cuando CeX dejó de almacenar datos financieros.
Un conjunto de datos personales de votantes ha sido expuesto por un proveedor de sistemas de gestión electoral y máquinas de votación Election Systems & Software. Por defecto, los buckets de Amazon requieren autenticación, pero de alguna manera lograron configurar incorrectamente un bucket de Amazon que contenía una base de datos de respaldo con 1.8 millones de registros (nombres, direcciones, fechas de nacimiento, número de licencia de conducir, números de Seguridad Social y números de identificación estatal).
Otro ejemplo de la falta de organización en ciberseguridad es una agencia literaria Bell Lomax Moreton exponiendo miles de archivos sensibles, incluyendo datos de clientes, pagos de regalías e incluso libros no publicados. Los datos quedaron expuestos en línea en la unidad de respaldo mal configurada que no requería nombre de usuario ni contraseña para ver los datos sensibles de la compañía.
Una empresa llamada Power Quality Engineering expuso públicamente datos sensibles, incluidos posibles puntos débiles de los sistemas eléctricos de clientes, así como las configuraciones y ubicaciones de algunas zonas de transmisión de inteligencia de alto secreto. La filtración ocurrió debido al puerto abierto utilizado por una utilidad de sincronización remota rsync.
Una campaña masiva de malware resultó en la violación de más de 711 millones de registros de correo electrónico incluyendo contraseñas. El volcado se encontró en un servidor públicamente accesible y no seguro alojado en los Países Bajos. Los registros robados parecen ser obtenidos de violaciones de datos más antiguas.
Un hacker desconocido afirma haber robado 11 millones de registros de la base de datos que contiene datos personales de clientes del Servicio Nacional de Salud explotando errores de software no parcheados. Sin embargo, las autoridades de ciberseguridad del NHS informaron que solo se accedió a 35,501 líneas de datos administrativos. La investigación está en curso.
La plataforma de inversión y comercio de criptomonedas Enigma ha sido hackeada justo antes de una venta de tokens criptográficos durante la pre-venta de ICO. Los hackers crearon una dirección ETH falsa y saturaron el canal de Slack de Enigma y el boletín de correo electrónico con monedas de pre-venta. Los usuarios fueron engañados para enviar alrededor de $500,000 a la dirección ETH falsa. El incidente es bastante similar al ataque de CoinDash ocurrido el mes anterior.
WikiLeaks ha publicado otro conjunto de documentos de la CIA con detalles sobre el programa de la agencia “ExpressLane” que supuestamente está desarrollado para recolectar datos biométricos del FBI, NSA, Departamento de Seguridad Nacional y algunas otras agencias de EE. UU.
Fancy Bear, un grupo de hackers supuestamente vinculado al Kremlin, ha expuesto los nombres de los futbolistas británicos que no pasaron las pruebas de dopaje en 2015 y que fueron autorizados para usar medicamentos prohibidos durante el Mundial de 2010.
Vulnerabilidades de Seguridad de Base de Datos y Actualizaciones de RDBMS
PostgreSQL
CVE-2017-7548 Puntuación Base de CVSS v3: 7.5 Descripción: Una falla de autorización en las versiones de PostgreSQL anteriores a 9.4.13, 9.5.8 y 9.6.4 que permite a un atacante sin privilegios sobre grandes objetos reescribir el contenido del objeto causando denegación de servicio. Puede ser explotado por red y requiere autenticación.
CVE-2017-7547 Puntuación Base de CVSS v3: 8.8 Versiones Afectadas: versiones de PostgreSQL anteriores a 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Descripción: Una falla de autorización que permite a un atacante recuperar contraseñas de los mapeos de usuarios definidos por los propietarios de servidores extranjeros. Es remotamente explotable con autenticación.
CVE-2017-7546 Puntuación de Severidad CVSS: 9.8 Versiones Afectadas: versiones de PostgreSQL anteriores a 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4. Descripción: Una falla de autenticación incorrecta que permite a un atacante remoto ganar acceso a cuentas de base de datos sin contraseñas asignadas. La vulnerabilidad es explotable remotamente sin autenticación.
MS SQL Server
CVE-2017-8516 Puntuación de Severidad CVSS: 7.5 Versiones Afectadas: Microsoft SQL Server 2012, Microsoft SQL Server 2014, Microsoft SQL Server 2016 Descripción: Microsoft SQL Server Analysis Services permite una vulnerabilidad de divulgación de información cuando impone permisos incorrectamente. Remotamente explotable sin autenticación.
Microsoft Azure, SAP HANA
Puntuación de Severidad CVSS: 5.4
Versiones Afectadas:Microsoft Azure antes de 2016 R2 SP1, SAP HANA antes de 2017, Business Analytics antes de 2016 R2.
Descripción: Un problema de Cross-Site Scripting en OSIsoft PI Integrator. La explotación exitosa permite a un atacante subir un script malicioso que redirige a los usuarios a un sitio web malicioso. La vulnerabilidad es explotable remotamente y requiere autenticación.
Actualizaciones de RDBMS
Greenplum Database 4.3.16.1 Release. Una nueva versión de Pivotal Greenplum Database soporta protocolo s3 para proxies, también ahora contiene módulos de ciencia de datos de Python y bibliotecas de R de código abierto que se pueden instalar opcionalmente. El despachador de procesamiento de consultas de la base de datos Greenplum ha sido mejorado, ahora selecciona una instancia de segmento aleatoria como una banda de lectura única para la consolidación y distribución de datos. Ayuda a distribuir la carga y así aumentar el rendimiento.
Percona-Server-5.7.19-17 basado en MySQL 5.7.19 e incluye todas las correcciones de errores en él.
Digest de Seguridad de Base de Datos – Julio Digest de Seguridad de Base de Datos – Junio Digest de Seguridad de Base de Datos – Mayo