Digest de Sécurité des Bases de Données – Juillet 2017
Alors que le monde attend les nouvelles exploitations de la fuite de la CIA par The Shadow Brokers, les cybercriminels sont occupés. Les attaquants piratent les banques, adoptent des scanners d’injection SQL simples et rapides, et commencent à chasser les cryptomonnaies en réussissant à voler une cargaison d’Etherium en plein ICO. Pendant ce temps, des tonnes de données personnelles sont divulguées et un tas de vulnérabilités de sécurité sont corrigées par Oracle et SAP. Nous vous présentons un bref digest des derniers événements de sécurité des bases de données.
Détournement et vol
Un parti inconnu a piraté CoinDash, une plateforme de gestion d’actifs cryptographiques. Les criminels ont inséré l’adresse Ethereum frauduleuse et ont obtenu 7,7 millions de dollars en cryptomonnaie. L’attaque a eu lieu pendant les 15 minutes précédant les procédures d’ICO publiques. CoinDash reste positif et enquête sur l’incident en affirmant que les investisseurs seront crédités de toute façon.
Nouveaux dangers
The Shadow Brokers, célèbres pour avoir divulgué des vulnérabilités qui ont ensuite été utilisées dans WannaCry et NotPetya, doivent avoir déchargé un nouveau lot d’exploits pour ceux qui se sont abonnés pour 21 000 $ par mois. De plus, ils ont promis de publier plus de fuites, y compris des données sur les missiles nucléaires. Ça promet.
Il y a aussi une nouvelle publication de WikiLeaks concernant trois outils de piratage supposés appartenir à la CIA (Achilles, Aeris et SeaPea). Les outils sont ciblés pour trojaniser les installateurs DMG de macOS, implanter des malwares pour les systèmes POSIX, et maintenir des infections sur les systèmes Mac OS X entre les redémarrages du système.
Scanner d’Injection SQL Talentueux
La recherche de vulnérabilités d’injection SQL devient plus rapide et plus facile avec l’aide d’un scanner d’injection SQL appelé Katyusha Scanner géré via le messager Telegram ou une interface web. Il est basé sur l’outil de test de pénétration open source Arachni Scanner. La vitesse du scan est significative. L’outil permet également de scanner une liste de sites web au lieu de les examiner un par un. Une fois que le site vulnérable est détecté, Katyusha peut automatiquement exploiter la faille, livrer une coquille web ou vider les bases de données. Selon les publicités, l’outil peut également être utilisé pour scanner et exporter des identifiants de courrier électronique/mot de passe et pour des attaques de force brute. Il prend en charge la détection basée sur les erreurs, l’injection SQL aveugle en utilisant des attaques de timing et des techniques d’analyse différentielle pour une large gamme de SGBD.
L’outil est devenu assez populaire, maintenant les versions Pro et Lite du service coûtent 500 $ et 250 $, ou 200 $ pour la licence mensuelle.
Stockage AWS mal configuré
Les serveurs de stockage Amazon Web Services mal configurés fuient des données. Verizon a exposé les numéros de téléphone, les noms et certains codes PIN de 6 millions de clients. Plus tôt ce mois-ci, une compagnie de catch professionnel WWE a annoncé que les données personnelles de 3 millions de comptes ont été exposées en ligne. Dans les deux cas, les données étaient stockées sur des compartiments du service de stockage simple (S3) d’AWS. La fuite est survenue en raison d’une mauvaise configuration des privilèges d’accès sur les compartiments. Les paramètres de privilèges peuvent être modifiés ici.
Piratage d’une banque
La plus grande banque d’Italie, UniCredit, a été piratée et a exposé les données personnelles et les numéros de compte bancaire international (IBAN) de 400 000 demandeurs de prêts. La faille n’a été détectée que maintenant mais le compromis initial remonte à dix mois.
Correctif de sécurité SAP
SAP a publié un correctif qui corrige les failles de sécurité dans presque une dizaine de produits, dont une vulnérabilité de déni de service dans SAP Host Agent conçu pour surveiller les instances SAP, les bases de données, et les systèmes d’exploitation. La faille affecte HANA 1, HANA 2 et permet à un attaquant de redémarrer à distance l’agent sans autorisation via une demande SOAP malveillante.
Une autre faille critique a été trouvée dans la solution point de vente client/serveur de SAP. Elle permet à un attaquant d’accéder à un service sans autorisation en raison d’une série de contrôles d’autorisation manquants.
Défauts de Kerberos
CVE-2017-8495 Score de gravité CVSS 3 : 8.1 Une vulnérabilité d’élévation de privilège sur diverses versions de Windows OS se produisant lorsque Kerberos retombe sur le protocole d’authentification NTLM comme protocole d’authentification par défaut. L’exploitation ne nécessite pas d’authentification et peut être effectuée à distance.
CVE-2017-8495 Score de gravité CVSS 3 : 7.5 Une vulnérabilité dans le protocole d’authentification Kerberos sur diverses versions de Windows OS qui permet à un attaquant de contourner la fonction d’Extended Protection for Authentication lorsque Kerberos ne parvient pas à empêcher la falsification du champ SNAME lors de l’échange de tickets.
Mise à jour critique de sécurité d’Oracle
La mise à jour critique de sécurité d’Oracle contient 308 correctifs de sécurité, dont 5 pour Oracle Database Server et 30 pour Oracle MySQL.
Vulnérabilités du serveur de base de données Oracle
| CVE# | Composant | Package et/ou Privilège requis | Protocole | Exploit à distance sans authentification | Score CVSS 3 | Vecteur d’attaque | Complexité de l’attaque |
| CVE-2017-10202 | OJVM | Créer une session, Créer une procédure | Multiples | Non | 9.9 | Réseau | Faible |
| CVE-2014-3566 | DBMS_LDAP | Aucun | LDAP | Oui | 6.8 | Réseau | High |
| CVE-2016-2183 | Real Application Clusters | Aucun | SSL/TLS | Oui | 6.8 | Réseau | High |
| CVE-2017-10120 | Sécurité RDBMS | Créer une session, Sélectionner un dictionnaire | Oracle Net | Non | 1.9 | Local | High |
| CVE-2016-3092 | Services de données REST Oracle | Aucun | Multiples | Oui | 7.5 | Réseau | Faible |
Vulnérabilités d’Oracle MySQL
| CVE# | Composant | Package et/ou Privilège requis | Protocole | Exploit à distance sans authentification | Score CVSS 3 | Vecteur d’attaque | Complexité de l’attaque |
| CVE-2016-4436 | MySQL Enterprise Monitor | Moniteur : Général (Apache Struts 2) | HTTP sur TLS | Oui | 9.8 | Réseau | Faible |
| CVE-2017-5651 | MySQL Enterprise Monitor | Monitoring : Server (Apache Tomcat) | HTTP sur TLS | Oui | 9.8 | Réseau | Faible |
| CVE-2017-5647 | MySQL Enterprise Monitor | Monitoring : Server (Apache Tomcat) | HTTP sur TLS | Oui | 7.5 | Réseau | Faible |
| CVE-2017-3633 | MySQL Server | Serveur : Memcached | Memcached | Oui | 6.5 | Réseau | High |
| CVE-2017-3634 | MySQL Server | Serveur : DML | Protocole MySQL | Non | 6.5 | Réseau | Faible |
| CVE-2017-3732 | MySQL Connectors | Connector/C (OpenSSL) | Protocole MySQL | Oui | 5.9 | Réseau | High |
| CVE-2017-3732 | MySQL Connectors | Connector/ODBC (OpenSSL) | Protocole MySQL | Oui | 5.9 | Réseau | High |
| CVE-2017-3732 | MySQL Server | Serveur : Sécurité : Encryption (OpenSSL) | Protocole MySQL | Oui | 5.9 | Réseau | High |
| CVE-2017-3635 | MySQL Connectors | Connector/C | Protocole MySQL | Non | 5.3 | Réseau | High |
| CVE-2017-3635 | MySQL Server | API C | Protocole MySQL | Non | 5.3 | Réseau | High |
| CVE-2017-3636 | MySQL Server | Programmes client | Protocole MySQL | Non | 5.3 | Local | Faible |
| CVE-2017-3529 | MySQL Server | Serveur : UDF | Protocole MySQL | Non | 5.3 | Réseau | High |
| CVE-2017-3637 | MySQL Server | X Plugin | X Protocol | Non | 5.3 | Réseau | High |
| CVE-2017-3639 | MySQL Server | Serveur : DML | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3640 | MySQL Server | Serveur : DML | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3641 | MySQL Server | Serveur : DML | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3643 | MySQL Server | Serveur : DML | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3644 | MySQL Server | Serveur : DML | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3638 | MySQL Server | Serveur : Optimizer | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3642 | MySQL Server | Serveur : Optimizer | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3645 | MySQL Server | Serveur : Optimizer | Protocole MySQL | Non | 4.9 | Réseau | Faible |
| CVE-2017-3646 | MySQL Server | X Plugin | X Protocol | Non | 4.9 | Réseau | Faible |
| CVE-2014-1912 | MySQL Cluster | CLSTCONF (Python) | Protocole MySQL | Oui | 4.8 | Réseau | High |
| CVE-2017-3648 | MySQL Server | Serveur : Charsets | Protocole MySQL | Non | 4.4 | Réseau | High |
| CVE-2017-3647 | MySQL Server | Serveur : Replication | Protocole MySQL | Non | 4.4 | Réseau | High |
| CVE-2017-3649 | MySQL Server | Serveur : Replication | Protocole MySQL | Non | 4.4 | Réseau | High |
| CVE-2017-3651 | MySQL Server | Client mysqldump | Protocole MySQL | Non | 4.3 | Réseau | Faible |
| CVE-2017-3652 | MySQL Server | Serveur : DDL | Protocole MySQL | Non | 4.2 | Réseau | High |
| CVE-2017-3650 | MySQL Server | API C | Protocole MySQL | Oui | 3.7 | Réseau | High |
| CVE-2017-3653 | MySQL Server | Serveur : DDL | Protocole MySQL | Non | 3.1 | Réseau | High |
