Digest de Seguridad de Bases de Datos – Febrero 2017
Ha llegado el momento de presentarles las últimas noticias en el ámbito de la seguridad de bases de datos.
Ataques de rescate dirigidos a MySQL
Los ataques de ransomware en MongoDB y CouchDB mal configurados continuaron. Los extorsionadores también han comenzado a apuntar a bases de datos MySQL. El esquema del ataque sigue siendo bastante simple: detectar una base de datos con configuraciones predeterminadas, forzar la contraseña de ‘root’, eliminar el contenido de la base de datos y exigir un rescate para restaurar los datos.
Este tipo de ataque se puede evitar fácilmente si aplicas las medidas básicas de seguridad:
- Instala la última versión de tu SGBD.
- No dejes la contraseña predeterminada para los usuarios root. Asigna combinaciones fuertes para las contraseñas, usa generadores de contraseñas aleatorias.
- Minimiza los servicios expuestos a Internet.
- Implementa herramientas de monitoreo de actividad para estar al tanto de la situación actual de tus servidores accesibles por Internet.
Vulnerabilidad de inyección SQL en WordPress
Se ha encontrado una grave vulnerabilidad explotable de forma remota en el plugin NextGEN Gallery de WordPress. Permite a un usuario no autenticado inyectar código SQL y recuperar datos sensibles de la base de datos del sitio web de la víctima, incluidas las contraseñas de usuario de WordPress en formato hash. Los sitios web afectados son aquellos que usan NextGEN Basic TagCloud Gallery o si se permite a los usuarios enviar publicaciones.
La inyección SQL es posible debido a una validación incorrecta de los parámetros de la consulta. Como resultado, la información ingresada por un usuario se agregará a la consulta SQL sin la filtración correcta. La vulnerabilidad ha sido parcheada en NextGEN Gallery 2.1.79.
Fugas en Cloudflare
Cloudflare proporciona servicios de seguridad y desempeño en Internet a millones de sitios web. Resultó que el servicio de Cloudflare tenía un gran error y estaba filtrando datos sensibles desde septiembre de 2016 hasta febrero de 2017.
Según los informes de Cloudflare, el problema ocurrió en el analizador HTML presente en las siguientes tres características: Reescrituras Automáticas de HTTP, Ofuscación de Correo Electrónico y Exclusiones del Lado del Servidor. El error causó un desbordamiento de búfer en los servidores periféricos, devolviendo memoria que contenía información privada, como tokens de autenticación, cookies HTTP, cuerpos HTTP POST y otros datos críticos. Las tres características que causaban la fuga de memoria fueron deshabilitadas inmediatamente tan pronto como la empresa notó el problema.
Entre las víctimas se encuentran Uber, Fitbit, OK Cupid y otros servicios basados en la web. Se considera que el impacto de la fuga es mínimo. Cloudflare, en colaboración con proveedores de motores de búsqueda, eliminó la memoria caché que contenía datos filtrados de los motores de búsqueda antes de anunciar el error. La empresa también declaró que no se habían filtrado claves SSL de los clientes porque se utiliza una instancia NGINX aislada para terminar las conexiones SSL.
SHA-1 en camino a desaparecer
Investigadores de Google han realizado el primer ataque práctico de colisión para la función de hash criptográfico SHA-1. El ataque se basa en la colisión de dos archivos PDF. Han logrado obtener la firma digital SHA-1 en el primer archivo PDF y la utilizaron para extraer el segundo archivo PDF imitándose la firma.
Los cálculos toman años y el costo del ataque se estima en hasta $120,000, pero se cree que disminuirá en el futuro. Los investigadores afirman que su método es 100,000 veces más rápido que un ataque de fuerza bruta.
Muchas organizaciones ya han reemplazado SHA-1 con SHA-2 y SHA-3, ya que el algoritmo ya no se considera seguro contra oponentes bien financiados. Google, Microsoft, Apple y Mozilla han anunciado que para 2017 sus navegadores dejarán de aceptar certificados SSL SHA-1.
Vulnerabilidades de bases de datos y lanzamientos de SGBD
CVE-2017-3302Versiones afectadas: Oracle MySQL antes de 5.6.21 y 5.7.x antes de 5.7.5 y MariaDB hasta 5.5.54, 10.0.x hasta 10.0.29, 10.1.x hasta 10.1.21 y 10.2.x hasta 10.2.3 CVSS Severidad: 7.5 Permite a un atacante no autenticado y sin privilegios causar un fallo en libmysqlclient.so
Percona Server 5.7.17-11 agrega dos nuevas características y corrige errores conocidos. La lista de cambios importantes puedes verla a continuación:
- Soporte para la compresión por columna de VARCHAR/BLOB para el motor de almacenamiento XtraDB. Para mejorar la relación de compresión para filas individuales cortas como datos JSON, se ha agregado soporte para el diccionario de compresión.
- La re-implementación de la característica Kill Idle Transactions (Matar Transacciones Inactivas) resuelve fallos del servidor y ahora se puede usar en cualquier motor de almacenamiento transaccional (TokuDB, MyRocks). Se establece un tiempo de espera de lectura del socket de conexión en lugar de una escaneo periódico de las transacciones internas de InnoDB.
- Para evitar la escalada de privilegios, mysq_safe limita el uso de rm y chown. El comando chown ahora solo se puede usar para el directorio /var/log.
También ha habido un lanzamiento de Percona Server for MongoDB 3.4.
El primer candidato de lanzamiento (RC) ha sido lanzado en la serie MariaDB 10.2. Para ver qué hay de nuevo, consulta las notas de la versión.
Se han lanzado PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 y 9.2.20. Corrigen más de 75 errores y solucionan algunos problemas conocidos. A continuación se encuentran los más notables:
- Se produjo una condición de carrera al llamar al comando CREAR ÍNDICE CONCURRENTE en una columna que no había sido indexada antes, lo cual podría llevar a la corrupción de datos. El problema ha sido resuelto.
- Mejoras en la estabilidad de los datos visibles y el registro de escritura adelantada.
Digest de Seguridad de Bases de Datos – Enero Digest de Seguridad de Bases de Datos – Diciembre Digest de Seguridad de Bases de Datos – Noviembre
