DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Digest de Seguridad de Base de Datos – Septiembre 2017

Te presentamos un resumen de los últimos incidentes y actualizaciones sobre la seguridad de bases de datos.

Brecha en Equifax

Una parte desconocida hackeó a Equifax, una gran agencia de informes de crédito al consumidor que maneja información extremadamente sensible. Los datos personales de 143 millones de consumidores estadounidenses han sido comprometidos, incluyendo nombres, números de seguridad social, fechas de nacimiento, direcciones y en algunos casos números de licencia de conducir, al menos 209,000 credenciales de tarjetas de crédito, y PII adicional de 182,000. Algunos datos de clientes en el Reino Unido y Canadá también se vieron afectados.

Equifax ha informado que el ataque se realizó explotando una vulnerabilidad de ejecución remota de código en el software de servidor de código abierto Apache Struts (CVE-2017-5638). Un atacante envía una solicitud HTTP que contiene un objeto serializado o una expresión OGNL, obteniendo así la capacidad de ejecutar código arbitrario. La vulnerabilidad se divulgó en marzo. Es una vulnerabilidad crítica y Equifax definitivamente debería haberla parcheado.

Aparte de permitir que ocurriera un ataque masivo, Equifax, sin razón, no ha declarado la brecha en 72 horas, como lo exige el Reglamento General de Protección de Datos de Europa. La empresa reportó el incidente 40 días después de haberlo descubierto.

Bases de datos de AWS mal configuradas siguen filtrando

Un proveedor global de servicios de comunicación BroadSoft ha dejado expuestos 600 GB de datos en dos repositorios en la nube sin acceso restringido. Los archivos incluían volcados de bases de datos SQL, registros de acceso, direcciones de facturación de los clientes.

TigerSwan, un contratista militar privado de Estados Unidos, ha comprometido miles de currículums que contenían información personal de veteranos militares estadounidenses.

El conglomerado estadounidense de telecomunicaciones Verizon ha filtrado archivos corporativos confidenciales que incluían claves de desencriptación, nombres de usuario y contraseñas para acceder a la red interna de Verizon.

En todos los casos, los datos se almacenaron en cubos de AWS Simple Storage Service (S3). La filtración ocurrió debido a la habilitación del acceso público a las bases de datos. La tendencia continúa. Si tienes datos en los cubos de Amazon, es mejor que los verifiques dos veces.

MS SQL Server 2017 Lanzado

Una nueva versión de SQL Server contiene correcciones de errores y, a partir de ahora, es compatible con Linux y macOS (a través de Docker). Algunas de las funciones (replicación, Reporting Services, Análisis Services, Machine Learning Services) todavía no son compatibles con Linux. Otros cambios incluyen:

  • Mejoras en los umbrales de actualización de estadísticas incrementales de cálculo.
  • Soporte para consultas gráficas
  • Procesamiento Adaptativo de Consultas y Tuning Automático para una mejor optimización de consultas.
  • Soporte para Python en Machine Learning Services

Para la lista completa de cambios, consulta las Notas de la Versión.

CVE-2017-1520
Puntuación de severidad CVSS: 3.7
Descripción: Una vulnerabilidad en IBM DB2 9.7, 10,1, 10.5 y 11.1 que permite ejecutar comandos no autorizados activando la base de datos cuando el tipo de autenticación es CLIENTE. Puede ser explotada remotamente sin autenticación.

CVE-2017-1519
Puntuación de severidad CVSS: 5.9
Descripción: Vulnerabilidad de denegación de servicio en IBM DB2 10.5 y 11.1. Un usuario remoto sin autenticación puede interrumpir el servicio para el servidor DB2 Connect configurado con una configuración particular.

CVE-2017-1452
Puntuación de severidad CVSS: 7.8
Descripción: Una vulnerabilidad en IBM DB2 9.7, 10.1, 10.5, 11.1 que permite a un usuario local elevar privilegios y sobrescribir archivos de DB2. Explotable localmente sin autenticación.

CVE-2017-1451
Puntuación de severidad CVSS: 7.8
Descripción: Una vulnerabilidad en IBM DB2 9.7, 10.1, 10.5, 11.1 que permite a un usuario local con privilegios de propietario de instancia de DB2 obtener privilegios de root.

CVE-2017-1439
Puntuación de severidad CVSS: 6.7
Descripción: Una vulnerabilidad en IBM DB2 9.7, 10.1, 10.5, 11.1 que permite a un usuario local con privilegios de propietario de instancia de DB2 obtener privilegios de root. Explotable localmente sin autenticación.

CVE-2017-1438
Puntuación de severidad CVSS: 6.7
Descripción: Una vulnerabilidad en IBM DB2 9.7, 10.1, 10.5, 11.1 que permite a un usuario local con privilegios de propietario de instancia de DB2 obtener privilegios de root.

CVE-2017-1434
Puntuación de severidad CVSS: 4.7
Descripción: Una vulnerabilidad en IBM DB2 9.7, 10.1, 10.5, 11.1 con ciertos ajustes que permite a un usuario local no autorizado exponer información sensible en el registro de errores.

Digest de Seguridad de Base de Datos – Agosto
Digest de Seguridad de Base de Datos – Julio
Digest de Seguridad de Base de Datos – Junio

Siguiente

Resumen de Seguridad de Base de Datos – Octubre 2017

Resumen de Seguridad de Base de Datos – Octubre 2017

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]