Resumen de Seguridad de Base de Datos – Octubre 2017
Les presentamos el rápido resumen de las noticias de seguridad de bases de datos de Octubre.
Bad Rabbit: Otro Ataque de Ransomware
Una nueva ola de ataques de ransomware golpeó a Rusia y Ucrania, también se han reportado ataques en Turquía y Alemania. Según el informe de Kaspersky Lab, Bad Rabbit utiliza métodos similares a los utilizados en el ataque ExPetr.
El ransomware no utiliza ningún exploit, las víctimas deben lanzar manualmente el archivo install_flash_player.exe descargado de un sitio legítimo infectado. Cuando se lanza, descarga un malware encriptador de archivos que puede forzar bruscamente las credenciales de inicio de sesión NTLM a máquinas Windows que tienen una dirección IP pseudo-aleatoria. Además, el malware encripta los datos de la víctima utilizando la clave pública RSA-2048 del criminal.
Vulnerabilidad de Inyección SQL en SmartVista
Rapid7 reveló detalles de una vulnerabilidad de inyección SQL en SmartVista, que es una plataforma de comercio electrónico vendida en 66 países y desarrollada por BPC Banking Technologies. La vulnerabilidad sólo afectó a la versión Front-End 2.2.10 de SmartVista y se parcheó en versiones posteriores del software. La explotación exitosa permite a un atacante recuperar datos sensibles, incluyendo nombres de usuario y contraseñas del backend de la base de datos. Las vulnerabilidades detectadas son de tipo temporal y booleano. La explotación requiere acceso autenticado al sistema SmartVista.
Sigue la Fugas de los Buckets Mal Configurados de Amazon S3
En resúmenes anteriores, ya hemos mencionado los buckets de Amazon S3 dejados con la configuración por defecto, y este mes hay otro ejemplo de la actitud irresponsable hacia el almacenamiento de datos sensibles. Accenture PLC, una compañía global de consultoría de gestión, ha expuesto sus llaves privadas internas, datos de API secretos, y otra información. Los servidores fueron dejados absolutamente sin seguridad, los atacantes sólo necesitaban conocer la dirección URL.
3 Mil Millones de Cuentas de Yahoo Comprometidas
Este mes, Yahoo (ahora parte de Oath) ha revelado los detalles de la investigación en curso de la mayor violación de datos de la historia que ocurrió en 2013. Según el último aviso, aproximadamente 3 mil millones de cuentas han sido comprometidas. Las autoridades de la investigación indican que los archivos robados no incluyen datos de tarjetas de pago, información de cuentas bancarias, y contraseñas en texto plano. La compañía continúa notificando a usuarios adicionales afectados.
Peligrosa Expansión de un Nuevo Bot DDoS
IBTimes informó sobre el IoT Reaper, un nuevo botnet recién descubierto que utiliza vulnerabilidades no parcheadas para esclavizar cámaras y routers conectados a la web. El código se toma del botnet Mirai, y según los investigadores, puede apagar el Internet.
Vulnerabilidad en Derivados de MySQL
CVE-2017-15945Los scripts de instalación de los derivados de MySQL (dev-db/mysql, dev-db/mariadb, dev-db/percona-server, dev-db/mysql-cluster, y dev-db/mariadb-galera) contienen una vulnerabilidad que permite aprovechar el acceso a la cuenta mysql para la creación de un enlace.
Los scripts de instalación en los paquetes de Gentoo antes del 29-09-2017 tienen llamadas chown para árboles de directorios escribibles por el usuario, lo que permite a los usuarios locales obtener privilegios aprovechando el acceso a la cuenta mysql para la creación de un enlace.
Parche Crítico de Oracle
Oracle ha lanzado una nueva Actualización Crítica de Parche que corrige 252 vulnerabilidades de seguridad.
Contiene 25 correcciones de seguridad para Oracle MySQL, 6 de las cuales son explotables remotamente sin autenticación, y 6 correcciones para Oracle Database, 2 de las cuales son explotables remotamente sin autenticación.
Matriz de Riesgo de Oracle MySQL| CVE# | Componente | Explotación Remota sin Autentificación | Puntuación de Gravedad CVSS | Vector de Ataque | Complejidad del Ataque | |
| CVE-2017-10424 | Monitoreo: Web | Sí | 8.8 | Red | Bajo | |
| CVE-2017-5664 | Monitoreo: General (Apache Tomcat) | Sí | 7.5 | Red | Bajo | |
| CVE-2017-10155 | Servidor: Autenticación Pluggable | Sí | 7.5 | Red | Bajo | |
| CVE-2017-3731 | Servidor: Seguridad: Encriptación (OpenSSL) | Sí | 7.5 | Red | Bajo | |
| CVE-2017-10379 | Programas de Cliente | No | 6.5 | Red | Bajo | |
| CVE-2017-10384 | Servidor: DDL | No | 6.5 | Red | Bajo | |
| CVE-2017-10276 | Servidor: FTS | No | 6.5 | Red | Bajo | |
| CVE-2017-10167 | Servidor: Optimizador | No | 6.5 | Red | Bajo | |
| CVE-2017-10378 | Servidor: Optimizador | No | 6.5 | Red | Bajo | |
| CVE-2017-10277 | Conector/Net | Sí | 5.4 | Red | Bajo | |
| CVE-2017-10203 | Conector/Net | Sí | 5.3 | Red | Bajo | |
| CVE-2017-10283 | Servidor: Performance Schema | No | 5.3 | Red | Alto | |
| CVE-2017-10313 | Replicación de Grupo GCS | No | 4.9 | Red | Bajo | |
| CVE-2017-10296 | Servidor: DML | No | 4.9 | Red | Bajo | |
| CVE-2017-10311 | Servidor: FTS | No | 4.9 | Red | Bajo | |
| CVE-2017-10320 | Servidor: InnoDB | No | 4.9 | Red | Bajo | |
| CVE-2017-10314 | Servidor: Memcached | No | 4.9 | Red | Bajo | |
| CVE-2017-10227 | Servidor: Optimizador | No | 4.9 | Red | Bajo | |
| CVE-2017-10279 | Servidor: Optimizador | No | 4.9 | Red | Bajo | |
| CVE-2017-10294 | Servidor: Optimizador | No | 4.9 | Red | Bajo | |
| CVE-2017-10165 | Servidor: Replicación | No | 4.9 | Red | Bajo | |
| CVE-2017-10284 | Servidor: Procedimiento Almacenado | No | 4.9 | Red | Bajo | |
| CVE-2017-10286 | Servidor: InnoDB | No | 4.4 | Red | Alto | |
| CVE-2017-10268 | Servidor: Replicación | No | 4.1 | Local | Alto | |
| CVE-2017-10365 | Servidor: InnoDB | No | 3.8 | Red | Bajo |
Matriz de Riesgo de la Base de Datos de Oracle
| CVE# | Componente | Paquete y/o Privilegio Requerido | Protocolo | Explotación Remota sin Autentificación.? | Puntuación Base | Vector de Ataque | Complejidad del Ataque |
| CVE-2017-10321 | Core RDBMS | Crear sesión | Oracle Net | No | 8.8 | Local | Bajo |
| CVE-2016-6814 | Espacial (Apache Groovy) | Ninguno | Multiple | Sí | 8.3 | Red | Alto |
| CVE-2017-10190 | Java VM | Crear Sesión, Crear Procedimiento | Multiple | No | 8.2 | Local | Bajo |
| CVE-2016-8735 | WLM (Apache Tomcat) | Ninguno | Multiple | Sí | 8.1 | Red | Alto |
| CVE-2017-10261 | Base de Datos XML | Crear Sesión | Oracle Net | No | 6.5 | Local | Bajo |
| CVE-2017-10292 | Seguridad RDBMS | Crear Usuario | Oracle Net | No | 2.3 | Local | Bajo |
Lanzamiento de MySQL 5.7.20
La versión contiene múltiples correcciones de errores en los motores InnoDB y Replication, cambios menores en la funcionalidad y las siguientes mejoras de seguridad:
- Los certificados generados automáticamente por mysqld e mysql_ssl_rsa_setup ahora usan X509 v3 en lugar de v1.
- El plugin keyring_okv ahora admite la protección con contraseña del archivo de claves utilizado para conexiones seguras.
Consulte las notas de la versión para obtener más detalles.
Pivotal Greenplum 5.1.0
La versión incluye mejoras de producto, presenta nuevas características y resuelve algunos problemas conocidos. Consulte las notas de la versión para obtener una descripción detallada.
Resumen de Seguridad de Base de Datos – Septiembre Resumen de Seguridad de Base de Datos – Agosto Resumen de Seguridad de Base de Datos – Julio