Resumen de Seguridad de Bases de Datos – Julio 2017
Mientras el mundo espera los nuevos exploits del leak de la CIA de The Shadow Brokers, los criminales cibernéticos se mantienen ocupados. Los atacantes piratean bancos, adoptan escáneres simples y rápidos de inyección SQL, y comienzan a buscar criptomonedas logrando robar una gran cantidad de Etherium durante el ICO. Mientras tanto, se filtran toneladas de datos personales y un grupo de vulnerabilidades de seguridad son parcheadas por Oracle y SAP. Les presentamos un rápido resumen de los últimos eventos de seguridad de bases de datos.
Intrusos y ladrones
Una parte desconocida hackeó CoinDash, una plataforma de gestión de criptoactivos. Los criminales insertaron la dirección fraudulenta de Etherium y obtuvieron $7.7 millones en criptomonedas. El ataque ocurrió durante los 15 minutos previos a los procedimientos de ICO públicos. CoinDash mantiene la cabeza en alto e investiga el incidente asegurando que los inversores serán acreditados de todas formas.
Nuevas Amenazas
The Shadow Brokers, famosos por filtrar vulnerabilidades que fueron utilizadas posteriormente en WannaCry y NotPetya, deben haber volcado un nuevo conjunto de exploits para aquellos que se suscribieron por $21,000 al mes. Además, prometieron publicar más filtraciones incluyendo datos sobre misiles nucleares. Suena divertido.
También hay una nueva publicación de WikiLeaks sobre tres herramientas supuestamente relacionadas con el hacking de la CIA (Achilles, Aeris y SeaPea). Las herramientas están dirigidas a poner Troyanos en instaladores DMG de macOS, implantar malware en sistemas POSIX, y mantener infecciones en sistemas Mac OS X entre reinicios del sistema.
Escáner de Inyección SQL Talentoso
La búsqueda de vulnerabilidades de inyección SQL se vuelve más rápida y fácil con la ayuda de un escáner de inyección SQL llamado Katyusha Scanner que se puede administrar a través del mensajero Telegram o la interfaz web. Está basado en la herramienta de prueba de penetración de código abierto Arachni Scanner. La velocidad del escaneo es significativa. La herramienta también permite escanear una lista de sitios web en lugar de examinarlos uno por uno. Una vez que el sitio vulnerable se detecta, Katyusha puede explotar automáticamente el defecto, entregar una shell web o volcar las bases de datos. Según los anuncios, la herramienta también se puede usar para escanear y exportar credenciales de correo electrónico/contraseña y ataques de fuerza bruta de inicio de sesión. Soporta detección basada en errores, inyección SQL ciega usando ataques de tiempo y técnicas de análisis diferencial para una amplia gama de RDBMSs.
La herramienta se ha vuelto bastante popular, ahora las versiones Pro y Lite del servicio cuestan $500 y $250, o $200 por licencia mensual.
Almacenamiento AWS mal configurado
Los servidores de almacenamiento de Amazon Web Services mal configurados están filtrando datos. Verizon ha expuesto números de teléfono, nombres y algunos códigos PIN de 6 millones de clientes. A principios de este mes, una compañía de lucha libre profesional WWE notificó que los datos personales de 3 millones de cuentas han quedado expuestos en línea. En ambos casos, los datos se almacenaban en los cubos del Servicio de Almacenamiento Simple (S3) de AWS. La fuga ocurrió debido a la mala configuración del privilegio de acceso en los cubos. Los ajustes de privilegio se pueden cambiar aquí.
Infringiendo un Banco
El banco más grande de Italia, UniCredit, ha sido hackeado y expuesto datos personales y números de cuenta bancaria internacional (IBAN) de 400,000 solicitantes de préstamos. La brecha fue detectada solo ahora, pero el compromiso inicial fue hace diez meses.
Parche de Seguridad de SAP
SAP ha lanzado un parche que corrige fallos de seguridad en casi una docena de productos, incluyendo una vulnerabilidad de denegación de servicio en SAP Host Agent diseñada para monitorear instancias de SAP, bases de datos y sistemas operativos. El fallo afecta a HANA 1, HANA 2 y permite a un atacante reiniciar remotamente el agente sin autorización a través de una solicitud SOAP maliciosa.
Se ha encontrado otro fallo crítico en la solución de punto de venta cliente/servidor de SAP. Permite a un atacante acceder a un servicio sin autorización debido a una serie de verificaciones de autorización ausentes.
Fallos en Kerberos
CVE-2017-8495 Puntaje de gravedad CVSS 3: 8.1 Una vulnerabilidad de elevación de privilegios en varias versiones de Windows OS que ocurre debido a que Kerberos recurre al Protocolo de Autenticación NTLM como protocolo de autenticación predeterminado. El aprovechamiento no requiere autenticación y se puede realizar de forma remota.
CVE-2017-8495 Puntaje de gravedad CVSS 3: 7.5 Una vulnerabilidad en el protocolo de autenticación Kerberos en varias versiones de Windows OS que permite a un atacante eludir la función de Protección Extendida para Autenticación cuando Kerberos no logra prevenir la manipulación con el campo SNAME durante el intercambio de boletos.
Actualización Crítica de Parche de Oracle
La actualización crítica de parche de Oracle contiene 308 correcciones de seguridad incluyendo 5 para el Oracle Database Server y 30 para Oracle MySQL.
Vulnerabilidades del servidor de bases de datos de Oracle
| CVE# | Componente | Paquete y/o privilegio requerido | Protocolo | Explotación remota sin autenticación | Puntaje CVSS 3 | Vector de Ataque | Complejidad de Ataque |
| CVE-2017-10202 | OJVM | Crear sesión, Crear procedimiento | Múltiples | No | 9.9 | Red | Bajo |
| CVE-2014-3566 | DBMS_LDAP | Ninguno | LDAP | Sí | 6.8 | Red | Alto |
| CVE-2016-2183 | Real Application Clusters | Ninguno | SSL/TLS | Sí | 6.8 | Red | Alto |
| CVE-2017-10120 | RDBMS Security | Crear sesión, Seleccionar cualquier diccionario | Oracle Net | No | 1.9 | Local | Alto |
| CVE-2016-3092 | Oracle REST Data Services | Ninguno | Múltiples | Sí | 7.5 | Red | Bajo |
Vulnerabilidades de Oracle MySQL
| CVE# | Componente | Paquete y/o privilegio requerido | Protocolo | Explotación remota sin autenticación | Puntaje CVSS 3 | Vector de Ataque | Complejidad de Ataque |
| CVE-2016-4436 | MySQL Enterprise Monitor | Monitor: General (Apache Struts 2) | HTTP sobre TLS | Sí | 9.8 | Red | Bajo |
| CVE-2017-5651 | MySQL Enterprise Monitor | Monitoreo: Servidor (Apache Tomcat) | HTTP sobre TLS | Sí | 9.8 | Red | Bajo |
| CVE-2017-5647 | MySQL Enterprise Monitor | Monitoreo: Servidor (Apache Tomcat) | HTTP sobre TLS | Sí | 7.5 | Red | Bajo |
| CVE-2017-3633 | MySQL Server | Servidor: Memcached | Memcached | Sí | 6.5 | Red | Alto |
| CVE-2017-3634 | MySQL Server | Servidor: DML | Protocolo MySQL | No | 6.5 | Red | Bajo |
| CVE-2017-3732 | MySQL Connectors | Conector/C (OpenSSL) | Protocolo MySQL | Sí | 5.9 | Red | Alto |
| CVE-2017-3732 | MySQL Connectors | Conector/ODBC (OpenSSL) | Protocolo MySQL | Sí | 5.9 | Red | Alto |
| CVE-2017-3732 | MySQL Server | Servidor: Seguridad: Encriptación (OpenSSL) | Protocolo MySQL | Sí | 5.9 | Red | Alto |
| CVE-2017-3635 | MySQL Connectors | Conector/C | Protocolo MySQL | No | 5.3 | Red | Alto |
| CVE-2017-3635 | MySQL Server | API C | Protocolo MySQL | No | 5.3 | Red | Alto |
| CVE-2017-3636 | MySQL Server | Programas de cliente | Protocolo MySQL | No | 5.3 | Local | Bajo |
| CVE-2017-3529 | MySQL Server | Servidor: UDF | Protocolo MySQL | No | 5.3 | Red | Alto |
| CVE-2017-3637 | MySQL Server | X Plugin | X Protocol | No | 5.3 | Red | Alto |
| CVE-2017-3639 | MySQL Server | Servidor: DML | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3640 | MySQL Server | Servidor: DML | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3641 | MySQL Server | Servidor: DML | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3643 | MySQL Server | Servidor: DML | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3644 | MySQL Server | Servidor: DML | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3638 | MySQL Server | Servidor: Optimizador | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3642 | MySQL Server | Servidor: Optimizador | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3645 | MySQL Server | Servidor: Optimizador | Protocolo MySQL | No | 4.9 | Red | Bajo |
| CVE-2017-3646 | MySQL Server | X Plugin | X Protocol | No | 4.9 | Red | Bajo |
| CVE-2014-1912 | MySQL Cluster | CLSTCONF (Python) | Protocolo MySQL | Sí | 4.8 | Red | Alto |
| CVE-2017-3648 | MySQL Server | Server: Charsets | Protocolo MySQL | No | 4.4 | Red | Alto |
| CVE-2017-3647 | MySQL Server | Server: Replicacion | Protocolo MySQL | No | 4.4 | Red | Alto |
| CVE-2017-3649 | MySQL Server | Server: Replicacion | Protocolo MySQL | No | 4.4 | Red | Alto |
| CVE-2017-3651 | MySQL Server | Cliente mysqldump | Protocolo MySQL | No | 4.3 | Red | Bajo |
| CVE-2017-3652 | MySQL Server | Server: DDL | Protocolo MySQL | No | 4.2 | Red | Alto |
| CVE-2017-3650 | MySQL Server | API C | Protocolo MySQL | Sí | 3.7 | Red | Alto |
| CVE-2017-3653 | MySQL Server | Server: DDL | Protocolo MySQL | No | 3.1 | Red | Alto |
