Digest de la Sécurité de Base de Données – Avril 2017
Voici les nouvelles les plus intéressantes du secteur de la sécurité des données pour le mois d’avril 2017.
Kaspersky Lab a publié son rapport sur les cyberattaques pour l’année 2016, qui révèle qu’il y a eu l’année dernière 702 millions de tentatives de lancement d’une exploitation. Ce nombre est 24,54% plus élevé qu’en 2015, lorsque les outils de protection Kaspersky ont réussi à bloquer plus de 563 millions de tentatives.
L’utilisation d’exploits, c’est-à-dire de logiciels malveillants qui utilisent des bugs dans le logiciel, est en constante augmentation, car c’est la façon la plus facile et la plus efficace de placer un code malveillant, comme des chevaux de Troie bancaires ou des rançongiciels, sans que l’utilisateur ne soupçonne quoi que ce soit. Les applications les plus souvent exploitées dans le monde des entreprises sont les navigateurs, le système d’exploitation Windows, Android AS et Microsoft Office, et la majorité des utilisateurs d’entreprises ont subi une exploit pour l’un de ces derniers au moins une fois en 2016.
Plus de 297 000 utilisateurs dans le monde ont été attaqués par des exploits zéro-day et fortement obfusqués connus, ce qui représente une croissance de 7% par rapport à 2015.
Il est intéressant de noter que malgré le nombre croissant d’utilisateurs d’entreprises attaqués par des exploits, le nombre d’utilisateurs privés touchés a diminué de 20% par rapport à 2015 – passant de 5,4 millions en 2015 à 4,3 millions en 2016.
Les courtiers de l’ombre ont publié des exploits
L’équipe de pirates qui se nomment eux-mêmes “Shadow Brokers” a publié le troisième archive avec des exploits obtenus de l’Agence de sécurité nationale des États-Unis. La collection contient des exploits pour les systèmes actuels, incluant Windows 8 et Windows 2012 et introduit une vulnérabilité zéro-day précédemment inconnue, qui reste actuellement non corrigée. En outre, il y a des exploits pour Windows Vista, Windows 2008, Windows XP et Windows 2003. Microsoft a cessé de supporter ces systèmes, ce qui signifie que la vulnérabilité ne sera pas corrigée.
Un autre exploit significatif concerne le système bancaire SWIFT. SWIFT est un protocole mondial largement répandu pour la messagerie financière sécurisée et les transactions utilisées par les banques du monde entier. Les fichiers présentés suggèrent une attaque préparée ciblant spécifiquement les bureaux et les services SWIFT. Il existe une documentation décrivant l’architecture des systèmes informatiques des banques et des utilitaires pour extraire des informations de la base de données Oracle, telles que les listes de clients et les messages SWIFT.
La mauvaise configuration d’AWS largement répandue ouvre les environnements cloud à l’attaque
Threat Stack, un partenaire technologique d’AWS, a annoncé les résultats de leur analyse de plus de 200 entreprises utilisant AWS. Le rapport révèle que près des trois quarts des entreprises analysées ont au moins une mauvaise configuration de sécurité critique qui pourrait permettre à un attaquant d’accéder directement aux services privés ou à la console Amazon Web Services, ou qui pourrait être utilisée pour masquer l’activité criminelle des technologies de surveillance.
L’une des configurations les plus flagrantes était celle des groupes de sécurité AWS configurés pour laisser SSH grand ouvert sur Internet dans 73% des entreprises analysées. Cette simple mauvaise configuration permet à un attaquant de tenter un accès à distance au serveur à partir de n’importe où, en contournant le VPN et les pare-feu. Un autre problème est de ne pas suivre une pratique bien reconnue de nécessité une authentification multi facteurs pour les utilisateurs d’AWS, ce qui expose facilement le système aux attaques par force brute. Cela a été trouvé dans 62% des entreprises analysées.
Un autre problème plus complexe concerne les mises à jour de logiciels peu fréquentes. Selon le rapport, moins de 13% des entreprises analysées tenaient à jour les mises à jour de logiciels. De plus, la majorité de ces systèmes non patchés sont conservés en ligne indéfiniment, certains d’entre eux depuis plus de trois ans.
Patch de sécurité Oracle
299 vulnérabilités sont corrigées dans le récent Critical Patch Update by Oracle, qui comporte 39 correctifs de sécurité pour Oracle MySQL et 3 pour Oracle Database Server.
Serveur de base de données Oracle
| CVE# | Composant | Privilège requis | Protocole | Exploit à distance sans auth.? | Score CVSS v3 | Vecteur d’attaque |
| CVE-2017-3486 | SQL*Plus | Connexion locale | Oracle Net | Non | 7.2 | Local |
| CVE-2017-3567 | OJVM | Créer une session, Créer une procédure | Multiple | Non | 5.3 | Réseau |
| CVE-2016-6290 | PHP | Aucun | Multiple | Oui | 9.8 | Réseau |
Oracle MySQL
| CVE# | Composant | Sous-composant | Protocole | Exploit à distance sans auth.? | vCVSS v3 Score | Vecteur d’attaque |
| CVE-2017-5638 | MySQL Enterprise Monitor | Monitoring: General (Struts 2) | MySQL Protocol | Oui | 10.0 | Réseau |
| CVE-2016-6303 | MySQL Workbench | Workbench: Sécurité: Chiffrement (OpenSSL) | MySQL Protocol | Oui | 9.8 | Réseau |
| CVE-2017-3523 | MySQL Connectors | Connector/J | MySQL Protocol | Non | 8.5 | Réseau |
| CVE-2017-3306 | MySQL Enterprise Monitor | Monitoring: Serveur | MySQL Protocol | Non | 8.3 | Réseau |
| CVE-2016-2176 | MySQL Enterprise Backup | Backup: ENTRBACK (OpenSSL) | MySQL Protocol | Oui | 8.2 | Réseau |
| CVE-2016-2176 | MySQL Workbench | Workbench: Sécurité: Chiffrement (OpenSSL) | MySQL Protocol | Oui | 8.2 | Réseau |
| CVE-2017-3308 | MySQL Server | Serveur: DML | MySQL Protocol | Non | 7.7 | Réseau |
| CVE-2017-3309 | MySQL Server | Serveur: Optimisateur | MySQL Protocol | Non | 7.7 | Réseau |
| CVE-2017-3450 | MySQL Server | Serveur: Memcached | MySQL Protocol | Oui | 7.5 | Réseau |
| CVE-2017-3599 | MySQL Server | Serveur: Pluggable Auth | MySQL Protocol | Oui | 7.5 | Réseau |
| CVE-2017-3329 | MySQL Server | Serveur: Gestion des threads | MySQL Protocol | Oui | 7.5 | Réseau |
| CVE-2017-3600 | MySQL Server | Client mysqldump | MySQL Protocol | Non | 6.6 | Réseau |
| CVE-2016-3092 | MySQL Enterprise Monitor | Monitoring: Général (Apache Commons FileUpload) | MySQL Protocol | Non | 6.5 | Réseau |
| CVE-2017-3331 | MySQL Server | Serveur: DML | MySQL Protocol | Non | 6.5 | Réseau |
| CVE-2017-3453 | MySQL Server | Serveur: Optimisateur | MySQL Protocol | Non | 6.5 | Réseau |
| CVE-2017-3452 | MySQL Server | Serveur: Optimisateur | MySQL Protocol | Non | 6.5 | Réseau |
| CVE-2017-3586 | MySQL Connectors | Connector/J | MySQL Protocol | Non | 6.4 | Réseau |
| CVE-2017-3732 | MySQL Enterprise Backup | Backup: ENTRBACK (OpenSSL) | MySQL Protocol | Oui | 5.9 | Réseau |
| CVE-2017-3731 | MySQL Enterprise Monitor | Monitoring: Général (OpenSSL) | MySQL Protocol | Oui | 5.9 | Réseau |
| CVE-2017-3454 | MySQL Server | Serveur: InnoDB | MySQL Protocol | Non | 5.5 | Réseau |
| CVE-2017-3304 | MySQL Cluster | Cluster: DD | MySQL Protocol | Non | 5.4 | Réseau |
| CVE-2017-3455 | MySQL Server | Serveur: Sécurité: Privilèges | MySQL Protocol | Non | 5.4 | Réseau |
| CVE-2017-3305 | MySQL Server | Serveur: C API | MySQL Protocol | Non | 5.3 | Réseau |
| CVE-2017-3302 | MySQL Server | Serveur: C API | MySQL Protocol | Non | 5.1 | Local |
| CVE-2017-3460 | MySQL Server | Serveur: Plugin Audit | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3456 | MySQL Server | Serveur: DML | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3458 | MySQL Server | Serveur: DML | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3457 | MySQL Server | Serveur: DML | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3459 | MySQL Server | Serveur: Optimisateur | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3463 | MySQL Server | Serveur: Sécurité: Privilèges | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3462 | MySQL Server | Serveur: Sécurité: Privilèges | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3461 | MySQL Server | Serveur: Sécurité: Privilèges | MySQL Protocol | Non | 4.9 | Réseau |
| CVE-2017-3464 | MySQL Server | Serveur: DDL | MySQL Protocol | Non | 4.3 | Réseau |
| CVE-2017-3465 | MySQL Server | Serveur: Sécurité: Privilèges | MySQL Protocol | Non | 4.3 | Réseau |
| CVE-2017-3467 | MySQL Server | Serveur: C API | MySQL Protocol | Oui | 3.7 | Réseau |
| CVE-2017-3469 | MySQL Workbench | Workbench: Sécurité : Chiffrement | MySQL Protocol | Oui | 3.7 | Réseau |
| CVE-2017-3589 | MySQL Connectors | Connector/J | MySQL Protocol | Non | 3.3 | Local |
| CVE-2017-3590 | MySQL Connectors | Connector/Python | None | Non | 3.3 | Local |
| CVE-2017-3307 | MySQL Enterprise Monitor | Monitoring: Serveur | MySQL Protocol | Non | 3.1 | Réseau |
| CVE-2017-3468 | MySQL Server | Serveur: Sécurité: Chiffrement | MySQL Protocol | Non | 3.1 | Réseau |
Vulnérabilité critique dans SAP HANA
SAP corrige une vulnérabilité critique d’injection de code (CVE-2017-7691) affectant le moteur de recherche TREX intégré à HAN et une douzaine d’autres produits SAP. La vulnérabilité est exploitable à distance, CVSS la note 9.8.
Une autre vulnérabilité a été trouvée dans SAP HANA DB. CVE-2016-6143 permet aux attaquants d’exécuter à distance du code arbitraire via des vecteurs impliquant les journaux d’audit.
MySQL 5.6.36 Libération
La version d’Oracle MySQL contient principalement des correctifs pour InnoDB et mysql_safe et les améliorations de sécurité suivantes :
- La bibliothèque OpenSSL liée a été mise à jour pour corriger un certain nombre de vulnérabilités.
- La fonction C API mysql_options() prend maintenant en charge l’option MYSQL_OPT_SSL_MODE. L’option SSL_MODE_REQUIRED est utilisée pour une connexion sécurisée au serveur.
Digest de la sécurité de base de données – Mars Digest de la sécurité de base de données – Février Digest de la sécurité de base de données – Janvier
