Resumen de Seguridad de Bases de Datos para Marzo de 2017

El mes pasado Gemalto publicó los resultados de su investigación sobre brechas de datos, revelando un aumento del 86% en comparación con 2015. Se han comprometido 1.4 mil millones de registros de datos durante 2016. Para mantenerlo al tanto de las últimas tendencias, hemos combinado las noticias del mes pasado sobre incidentes de seguridad de bases de datos, nuevas vulnerabilidades y parches de sistemas de gestión de bases de datos.

Incidentes de Ciberseguridad

Después de la ráfaga de ataques a MongoDB, el FBI advirtió sobre el aumento de la actividad criminal orientada a servidores FTP utilizados por organizaciones médicas y dentales configurados para permitir el acceso anónimo sin autenticación. Los administradores deben asegurarse de que la EPHI (información de salud protegida electrónicamente) o la PII (información de identificación personal) no se almacenen en servidores FTP en los que el modo anónimo esté habilitado.

En cuanto a la infame mega brecha de Yahoo!, EEUU acusa a dos agentes de inteligencia rusos y a dos hackers rusos. Uno de los acusados ha sido arrestado en Canadá. La acusación alega que los oficiales del Centro de Seguridad de la Información del FSB se asociaron con ciberdelincuentes para violar la red de Yahoo! y acceder a información de cuentas y datos propietarios sobre la creación de cookies utilizadas para acceder a cuentas de Yahoo!. Según la acusación, el propósito del ataque no era solo la recolección de inteligencia, sino también el beneficio financiero privado. Mientras tanto, un millón de contraseñas de cuentas de Yahoo! y Gmail están a la venta en la dark web.

Neiman Marcus ha acordado pagar $1.6 millones para resolver una brecha de datos. En diciembre de 2013, la lujosa tienda por departamentos estadounidense Neiman Marcus fue atacada, lo que resultó en la exposición de información de tarjetas de crédito de sus 350,000 clientes. Ahora la empresa tiene que pagar una fortuna por el incumplimiento de la legislación de ciberseguridad.

ABTA, la asociación de comercio de viajes que representa a agentes de viajes y operadores turísticos en el Reino Unido, ha alertado a los usuarios sobre una brecha de datos. Se cree que 43,000 de sus clientes se ven afectados. Los datos robados incluyen direcciones de correo electrónico, contraseñas cifradas de clientes de ABTA, y detalles de contacto de clientes de miembros de ABTA que han utilizado el sitio web para registrar una queja. Según ABTA, la mayoría de las contraseñas estaban cifradas y el riesgo de robo de identidad y fraude en línea es bajo.

Seguridad de Bases de Datos

En la última semana de marzo, Percona anunció el lanzamiento de Percona Server 5.7.17-12, basado en MySQL 5.7.17.

El lanzamiento contiene correcciones de errores y fallos, y hay una nueva característica de mysqldump que ayuda a hacer copias de seguridad de los servidores y recargar archivos de volcado. Sin embargo, la característica también resultó contener una vulnerabilidad que se mencionará más adelante.

CVE-2016-5483

Una vulnerabilidad detectada en la utilidad mysqldump de MySQL, que se utiliza para crear copias de seguridad lógicas de bases de datos. CVE-2016-5483 permite a un atacante ejecutar consultas SQL arbitrarias y comandos de shell al recuperar la copia de seguridad utilizando la utilidad mysqldump. Para explotar la vulnerabilidad, un atacante necesita adquirir privilegios para crear tablas.

MariaDB 10.1.22

Aparte de solucionar algunos problemas conocidos, el nuevo lanzamiento de MariaDB parchea dos vulnerabilidades de seguridad:

Puntuación de severidad CVSS: 4.7

Vulnerabilidad explotable localmente en el servidor MySQL (subcomponente MyISAM). Una vulnerabilidad difícil de explotar que permite a un atacante con bajos privilegios y acceso al entorno donde se ejecuta el servidor MySQL comprometer el servidor MySQL. Un ataque exitoso puede resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles por el servidor MySQL.

Puntuación de severidad CVSS: 7.5

Una vulnerabilidad explotable de forma remota que permite la disrupción del servicio causando un fallo en libmysqlclient.so. Versiones afectadas: MariaDB hasta la 5.5.54 y 10.0.29, Oracle MySQL antes de la 5.6.21 y 5.7.5.

Fallas de Seguridad Recientes

CVE-2016-6225

Puntuación de severidad CVSS: 5.9

Se ha encontrado otra vulnerabilidad en xbcrypt en Percona XtraBackup antes de la 2.3.6 y 2.4.x antes de la 2.4.5. Existe debido a una solución incompleta para CVE-2013-6394. La herramienta xbcrypt soporta la encriptación y desencriptación de las copias de seguridad. Como resultó, no establece correctamente el vector de inicialización (IV) para la encriptación, permitiendo a atacantes dependientes del contexto obtener datos sensibles de archivos de copia de seguridad encriptados a través de un ataque de texto plano elegido. La vulnerabilidad es explotable de forma remota.

CVE-2017-1150

Puntuación de severidad CVSS: 3.1

Una vulnerabilidad recientemente encontrada en IBM DB2 permite a un atacante autenticado ver tablas que no tiene permiso para ver. La vulnerabilidad es explotable de forma remota y requiere autenticación.

Parche de Seguridad de SAP HANA

SAP parcheó una serie de vulnerabilidades críticas en su plataforma empresarial basada en la nube HANA. Si son explotadas, podrían conducir a un compromiso total del sistema sin autenticación. Un atacante podría robar datos confidenciales en la base de datos, interrumpir procesos empresariales clave y modificar el código HTML de sitios que se ejecutan en HANA XS, incluso sin tener un nombre de usuario o contraseña legítimos.

Estas vulnerabilidades afectan al componente de Autoservicio de Usuario (USS) que permite el auto-registro de usuarios, cambio y restablecimiento de contraseñas. El servicio está deshabilitado por defecto, pero algunos usuarios lo activan para permitir que usuarios externos accedan a capacidades internas.

La vulnerabilidad en USS está estimada en 9.8 por CVSS, lo que permite a un atacante remoto tomar control total de SAP HANA sin un nombre de usuario y contraseña. Se recomienda encarecidamente desactivar el servicio o aplicar el parche.

Otra vulnerabilidad, fijación de sesión (8.8 CVSS), permite a un atacante elevar privilegios suplantando a otro usuario en el sistema.

El parche de seguridad de marzo también contiene correcciones para vulnerabilidades de DoS, ejecución de código remoto, XSS e inyección SQL de algunos componentes. Los desarrolladores de SAP recomiendan parchear las bases de datos HANA lo antes posible.