Resumen de seguridad de bases de datos – Abril 2017
Aquí están las noticias más interesantes en la industria de seguridad de datos para el mes de abril 2017.
Kaspersky Lab lanzó su reporte sobre ataques cibernéticos para el año 2016, que revela que el año pasado hubo 702 millones de intentos de lanzar un exploit. Este número es 24.54% mayor que en 2015, cuando las herramientas de protección de Kaspersky lograron bloquear más de 563 millones de intentos.
El uso de exploits, es decir, malware que usa bugs en el software, está creciendo constantemente, porque es la forma más fácil y efectiva de colocar código malicioso, como troyanos bancarios o ransomware, sin que el usuario sospeche nada. Las aplicaciones más explotadas en el mundo corporativo son los navegadores, Windows OS, Android AS y Microsoft Office, y la mayoría de los usuarios corporativos experimentaron un exploit para uno de estos al menos una vez en 2016.
Más de 297,000 usuarios en todo el mundo fueron atacados por exploits de día cero y exploits conocidos altamente ofuscados, lo que representa un crecimiento del 7% en comparación con 2015.
De manera interesante, a pesar de que el número de usuarios corporativos atacados por exploits está creciendo, el número de usuarios privados afectados disminuyó en un 20% en comparación con 2015, de 5.4 millones en 2015 a 4.3 millones en 2016.
Los Shadow brokers publicaron exploits
El equipo de hackers que se autodenominan “Shadow Brokers” ha publicado el tercer archivo con exploits obtenidos de la Agencia de Seguridad Nacional de EE. UU. La colección contiene exploits para sistemas actuales, incluidos Windows 8 y Windows 2012 e introduce una vulnerabilidad de día cero previamente desconocida, que actualmente permanece sin corregir. Además, hay exploits para Windows Vista, Windows 2008, Windows XP y Windows 2003. Microsoft descontinuó el soporte para esos sistemas, lo que significa que la vulnerabilidad no será reparada.
Otro exploit significativo involucra un sistema bancario SWIFT. SWIFT es un protocolo global generalizado para mensajería financiera segura y transacciones utilizadas por bancos de todo el mundo. Básicamente, los archivos presentados sugieren un ataque preparado específicamente dirigido a burós y servicios SWIFT. Hay documentación que describe la arquitectura de los sistemas informáticos de los bancos y utilities para extraer información de la base de datos de Oracle, como listas de clientes y mensajes SWIFT.
La configuración errónea de AWS se extiende y abre entornos en la nube al ataque
Threat Stack, un socio tecnológico de AWS, anunció los resultados de su análisis de más de 200 empresas que utilizan AWS. El informe revela que casi tres cuartas partes de las empresas analizadas tienen al menos una configuración de seguridad crítica que podría permitir a un atacante acceder directamente a servicios privados o a la consola de Amazon Web Services, o podría ser utilizado para encubrir actividad criminal de tecnologías de monitoreo.
Una de las configuraciones más obvias fue que los grupos de seguridad de AWS dejan SSH abierto a internet en el 73% de las empresas analizadas. Esta simple configuración errónea permite a un atacante intentar el acceso remoto al servidor desde cualquier lugar, eludiendo VPN y firewalls. Otro problema es no seguir una práctica bien reconocida de requerir autenticación multifactor para los usuarios de AWS, lo que expone fácilmente el sistema a ataques de fuerza bruta. Esto se encontró en el 62% de las empresas analizadas.
Otra preocupación más compleja son las actualizaciones de software infrecuentes. Según el informe, menos del 13% de las empresas analizadas estaban manteniendo las actualizaciones de software actuales. Además, la mayoría de esos sistemas sin parches se mantienen en línea de forma indefinida, algunos de ellos durante más de tres años.
Parche de seguridad de Oracle
299 vulnerabilidades se arreglan en la reciente Actualización crítica de parches de Oracle, que involucra 39 correcciones de seguridad para Oracle MySQL y 3 para Oracle Database Server.
Servidor de base de datos de Oracle
| N ° CVE | Componente | Privilegios requeridos | Protocolo | Explotación remota sin autenticación? | Puntaje CVSS v3 | Vector de ataque |
| CVE-2017-3486 | SQL*Plus | Iniciar sesión local | Oracle Net | No | 7.2 | Local |
| CVE-2017-3567 | OJVM | Crear sesión, Crear Procedimiento | Multiple | No | 5.3 | Red |
| CVE-2016-6290 | PHP | Ninguno | Multiple | Sí | 9.8 | Red |
Oracle MySQL
| N ° CVE | Componente | Sub-componente | Protocolo | Explotación remota sin autenticación? | Puntaje CVSS v3 | Vector de ataque |
| CVE-2017-5638 | Monitor empresarial de MySQL | Monitoreo: General (Struts 2) | Protocolo MySQL | Sí | 10.0 | Red |
| CVE-2016-6303 | Banco de trabajo de MySQL | Seguridad del banco de trabajo: Encriptación (OpenSSL) | Protocolo MySQL | Sí | 9.8 | Red |
| CVE-2017-3523 | Conectores MySQL | Connector/J | Protocolo MySQL | No | 8.5 | Red |
| CVE-2017-3306 | Monitor empresarial de MySQL | Monitoreo: Servidor | Protocolo MySQL | No | 8.3 | Red |
| CVE-2016-2176 | Copia de seguridad empresarial de MySQL | Copia de seguridad: ENTRBACK (OpenSSL) | Protocolo MySQL | Sí | 8.2 | Red |
| CVE-2016-2176 | Banco de trabajo de MySQL | Seguridad del banco de trabajo: Encriptación (OpenSSL) | Protocolo MySQL | Sí | 8.2 | Red |
| CVE-2017-3308 | Servidor MySQL | Servidor: DML | Protocolo MySQL | No | 7.7 | Red |
| CVE-2017-3309 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 7.7 | Red |
| CVE-2017-3450 | Servidor MySQL | Servidor: Memcached | Protocolo MySQL | Sí | 7.5 | Red |
| CVE-2017-3599 | Servidor MySQL | Servidor: Autenticación enchufable | Protocolo MySQL | Sí | 7.5 | Red |
| CVE-2017-3329 | Servidor MySQL | Servidor: agrupamiento de hilos | Protocolo MySQL | Sí | 7.5 | Red |
| CVE-2017-3600 | Servidor MySQL | Cliente mysqldump | Protocolo MySQL | No | 6.6 | Red |
| CVE-2016-3092 | Monitor empresarial de MySQL | Monitoreo: General (Apache Commons FileUpload) | Protocolo MySQL | No | 6.5 | Red |
| CVE-2017-3331 | Servidor MySQL | Servidor: DML | Protocolo MySQL | No | 6.5 | Red |
| CVE-2017-3453 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 6.5 | Red |
| CVE-2017-3452 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 6.5 | Red |
| CVE-2017-3586 | Conectores MySQL | Connector/J | Protocolo MySQL | No | 6.4 | Red |
| CVE-2017-3732 | Copia de seguridad empresarial de MySQL | Copia de seguridad: ENTRBACK (OpenSSL) | Protocolo MySQL | Sí | 5.9 | Red |
| CVE-2017-3731 | Monitor empresarial de MySQL | Monitoreo: General (OpenSSL) | Protocolo MySQL | Sí | 5.9 | Red |
| CVE-2017-3454 | Servidor MySQL | Servidor: InnoDB | Protocolo MySQL | No | 5.5 | Red |
| CVE-2017-3304 | Grupo MySQL | Grupo: DD | Protocolo MySQL | No | 5.4 | Red |
| CVE-2017-3455 | Servidor MySQL | Servidor: Seguridad: Privilegios | Protocolo MySQL | No | 5.4 | Red |
| CVE-2017-3305 | Servidor MySQL | Servidor: API C | Protocolo MySQL | No | 5.3 | Red |
| CVE-2017-3302 | Servidor MySQL | Servidor: API C | Protocolo MySQL | No | 5.1 | Local |
| CVE-2017-3460 | Servidor MySQL | Plugin de auditoría del servidor | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3456 | Servidor MySQL | Servidor: Language Manipulation (DML) | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3458 | Servidor MySQL | Servidor: Lenguaje de Manipulación de Datos (DML) | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3457 | Servidor MySQL | Servidor: Lenguaje de Manipulación de Datos (DML) | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3459 | Servidor MySQL | Servidor: Optimizador | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3463 | Servidor MySQL | Servidor: Seguridad: Privilegios | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3462 | Servidor MySQL | Servidor: Seguridad: Privilegios | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3461 | Servidor MySQL | Servidor: Seguridad: Privilegios | Protocolo MySQL | No | 4.9 | Red |
| CVE-2017-3464 | Servidor MySQL | Servidor: DDL | Protocolo MySQL | No | 4.3 | Red |
| CVE-2017-3465 | Servidor MySQL | Servidor: Seguridad: Privilegios | Protocolo MySQL | No | 4.3 | Red |
| CVE-2017-3467 | Servidor MySQL | Servidor: API C | Protocolo MySQL | Sí | 3.7 | Red |
| CVE-2017-3469 | Banco de trabajo de MySQL | Banco de trabajo: Seguridad: Encriptación | Protocolo MySQL | Sí | 3.7 | Red |
| CVE-2017-3589 | Conectores MySQL | Connector/J | Protocolo MySQL | No | 3.3 | Local |
| CVE-2017-3590 | Conectores MySQL | Connector/Python | Ninguno | No | 3.3 | Local |
| CVE-2017-3307 | Monitor empresarial de MySQL | Monitoreo: Servidor | Protocolo MySQL | No | 3.1 | Red |
| CVE-2017-3468 | Servidor MySQL | Servidor: Seguridad: Encriptación | Protocolo MySQL | No | 3.1 | Red |
Vulnerabilidad crítica en SAP HANA
SAP soluciona una vulnerabilidad crítica de inyección de código (CVE-2017-7691) que afecta al motor de búsqueda TREX integrado en HAN y una docena de otros productos SAP. La vulnerabilidad es explotable de forma remota, CVSS la calificó con 9.8.
Se ha encontrado otra vulnerabilidad en SAP HANA DB. CVE-2016-6143 permite a los atacantes ejecutar de forma remota código arbitrario a través de vectores que involucran los logs de auditoría.
Lanzamiento de MySQL 5.6.36
El lanzamiento de Oracle MySQL contiene correcciones de errores principalmente para InnoDB y mysql_safe y las siguientes mejoras de seguridad:
- La biblioteca OpenSSL vinculada ha sido actualizada para corregir un numero de vulnerabilidades.
- La función de la API de C mysql_options() ahora admite la opción MYSQL_OPT_SSL_MODE. La opción SSL_MODE_REQUIRED se usa para la conexión segura al servidor.
Resumen de seguridad de bases de datos – Marzo Resumen de seguridad de bases de datos – Febrero Resumen de seguridad de bases de datos – Enero
