Digest de Sécurité des Bases de Données – Mai 2017

Eh bien, ce mois-ci a été extrêmement chargé pour les hackers et ceux qui ont lutté contre eux. Voici le résumé rapide des nouvelles de sécurité des bases de données de mai 2017.

Shadow Brokers, WannaCry, la NSA et les Cybercatastrophes Mondiales

Commençons par l’équipe de hackers Shadow Brokers et leur publication mentionnée dans le digest précédent d’exploits pour les systèmes d’exploitation Windows et autres systèmes prétendument obtenus de la fuite de données de la National Security Agency. Cela a eu des conséquences énormes partout dans le monde car certains des exploits publiés ont été utilisés dans la création de l’infâme WannaCry, ce cryptoworm diabolique qui a infecté plus de 400,000 machines.

WannaCry cible les ordinateurs sous Microsoft Windows (98 % des victimes utilisaient Windows 7). Il utilise l’exploit EternalBlue divulgué par la NSA pour entrer dans un ordinateur en exploitant une vulnérabilité dans le protocole Server Message Block (SMB). Ensuite, il installe le logiciel DoublePulsar qui télécharge et exécute le script WannaCry pour crypter toutes les données de votre machine. Finalement, après avoir demandé un paiement d’environ 300 $ en bitcoin, il vous fait pleurer, car rien ne garantit que les données seront déchiffrées après avoir payé la facture.

Selon l’analyse des notes de rançon, les experts linguistiques ont conclu que les criminels sont fluents en chinois. Les transactions en bitcoin gardent leurs utilisateurs anonymes mais elles sont également traçables, chaque transaction étant écrite sur un registre public appelé la blockchain. Trois portefeuilles sont utilisés pour recevoir les paiements de rançon. Au 25 mai, 126,742 $ y ont été transférés. Cependant, les criminels auront du mal à les utiliser car des professionnels de la sécurité de l’information surveillent ces trois portefeuilles 24 heures sur 24.

Et retour aux Shadow Brokers qui ont causé ce terrible désordre. Ils ont annoncé un service d’abonnement mensuel pour de nouveaux exploits obtenus de la NSA. L’abonnement coûtera environ 23,000 $. Le premier lot est attendu pour la première moitié de juillet et qui sait ce qui s’y cache d’autre. Alors, devons-nous nous inquiéter des prochaines cybercatastrophes ? Oui, nous devrions.

Menace Samba

Une autre menace pour un stockage paisible de vos données. Plus de 100,000 ordinateurs sont actuellement susceptibles à une vulnérabilité d’exécution de code à distance (CVE-2017-7494) dans Samba, une norme de réseau populaire utilisée pour l’interopérabilité entre les systèmes Unix, Linux et Microsoft Windows. La vulnérabilité critique existe depuis mars 2010. Elle permet à un utilisateur malveillant de télécharger une bibliothèque partagée sur un partage inscriptible et de faire exécuter le serveur. Elle peut être utilisée comme WannaCry pour lancer un ver qui se répandrait à travers les réseaux touchant les systèmes Linux et Unix. Elle est très facile à exploiter, ne nécessitant qu’un script d’une ligne pour être exploitée.

Heureusement, les organisations peuvent atténuer les risques. Pour être du bon côté, les organisations doivent configurer leur pare-feu pour restreindre le trafic réseau SMB/Samba directement depuis Internet vers leurs actifs.

Autres Violations de Données

Un anonyme a publié une base de données géante avec plus de 560 millions d’emails et de mots de passe collectés à partir de diverses sources, y compris Linkedin, Last.fm, MySpace, Dropbox, Tumblr, Adobe, Neopets et autres. Les données ont fui il y a un moment, l’homme n’a fait que collecter 75 gigaoctets de données sensibles flottant librement ensemble.

Le site de rencontres PureMatrimony.com a alerté ses utilisateurs d’une possible violation de données. 120,000 mots de passe hachés ont été trouvés en ligne. Les mots de passe divulgués ont été cryptés avec l’algorithme MD5, ce qui est un choix très peu judicieux de solution de cryptage des données. Il a été considéré comme faible et inadapté à usage ultérieur il y a une décennie. Cela signifie que les pirates peuvent facilement obtenir les vrais mots de passe des utilisateurs. PureMatrimony a attribué la responsabilité de la fuite à un fournisseur de services tiers.

DaFont, dépôt de polices et site de téléchargement, a été piraté. 699K enregistrements de comptes, y compris des mots de passe hachés avec MD5, ont été divulgués. 98 % des mots de passe sont déjà craqués. La violation s’est produite en raison d’une vulnérabilité SQL injection exploitée par plusieurs parties.

Le plus grand guide de restaurants en ligne en Inde Zomato a confirmé qu’il a été piraté. Près de 17 millions de noms d’utilisateur et de mots de passe hachés ont été volés. Selon l’entreprise, les mots de passe sont difficiles à décrypter, et les informations de carte de crédit et de paiement sont stockées dans une base de données conforme PCI DSS séparée. L’équipe Zomato scanne activement tous les vecteurs de violation possibles et soupçonne un travail d’initié.

Le 31 mai, Kmart a annoncé qu’il avait découvert une violation de sécurité de ses systèmes de cartes de paiement en magasin, compromettant les numéros de cartes de crédit des clients. Leurs systèmes de traitement des données de paiement étaient infectés par un code malveillant invisible pour les systèmes antivirus actuels. Des rapports sur une activité de carte de crédit non autorisée ont déjà été signalés.

L’entreprise canadienne de télécommunications Bell a été piratée. Sa base de données de clients abonnés, incluant près de 2 millions d’adresses email, 1,700 numéros de téléphone et noms, a été compromise.

Nouvelles Vulnérabilités de Sécurité des Bases de Données et Mises à Jour des SGBDR

PostgreSQL

CVE-2015-6817
Score de Sévérité CVSS : 8.1
Lorsque PgBouncer est configuré avec le paramètre auth_user, il permet à un attaquant distant d’accéder en tant que auth_user via un nom d’utilisateur inconnu.

CVE-2017-7486
Score de Sévérité CVSS : 7.5
Les versions de PostgreSQL 8.4-9.6 sont vulnérables à une fuite de données dans la vue pg_user_mappings qui divulgue les mots de passe des serveurs étrangers à tout utilisateur ayant un privilège USAGE sur les serveurs associés.

CVE-2017-7485
Score de Sévérité CVSS : 5.9
La variable d’environnement PGREQUIRESSL n’applique plus les connexions SSL/TLS aux serveurs PostgreSQL. Cela pourrait être utilisé dans une attaque de l’homme du milieu pour retirer la protection SSL/TLS de la connexion entre un serveur et un client.

CVE-2017-7484
Score de Sévérité CVSS : 7.5
Il s’est avéré qu’il n’y avait pas de vérification des privilèges utilisateur pour accéder au catalogue pg_statistic, ce qui pourrait provoquer une fuite de données. Un utilisateur non privilégié pourrait voler certaines informations des tables auxquelles il n’est pas autorisé à accéder.

Teradata

CVE-2015-5401
Score de Sévérité CVSS : 7.5
Teradata Gateway et TDExpress permettent à un attaquant à distance de provoquer un déni de service via un message CONFIG REQUEST corrompu.

Apache Hive

CVE-2016-3083
Une vulnérabilité dans la poignée de main SSL pour les connexions TCP/HTTP qui se produit lors de la validation du certificat du serveur. Un client JDBC envoie une demande SSL au serveur xyz.com, et le serveur répond avec un certificat valide émis pour abc.com, le client accepte cela comme un certificat valide et la poignée de main SSL passera.

SAP HANA

CVE-2017-8915
Si Sinopia (serveur npm privé/cache) est utilisé dans SAP HANA, il permet aux attaquants à distance de provoquer un déni de service (crash du service et échec de l’assertion) en envoyant un package avec un nom de fichier contenant des signes $ ou %.

CVE-2017-8914
Un autre défaut d’intégration avec Sinopia. Il permet aux attaquants à distance de détourner des packages npm ou d’héberger des fichiers arbitraires en exploitant une politique de création d’utilisateur sécurisée.

Mises à Jour des SGBDR

MariaDB 10.2.6

• Moteur de stockage MyRocks en version alpha ajouté;
• Expressions de table communes récursives;
• Plugin AWS Key Management ajouté pour les packages Windows, CentOS, RHEL et Fedora;
• Packages pour Ubuntu 17.04 Zesty ajoutés;
• L’option –add-drop-trigger a été ajoutée à mysqldump;
• Nombreuses corrections de chiffrement;
• Défragmentation désactivée;
• Support ajouté pour OpenSSL 1.1 et LibreSSL;
• Les variables innodb_deadlock_detect et innodb_stats_include_delete_marked ont été introduites;

Percona Server 5.7.18-15

La nouvelle version de Percona corrige deux crashs du serveur. L’un survient lors de la requête d’une table avec partitionnement avec une seule partition. Un autre crash survient lors de l’exécution d’une requête sur une table InnoDB avec ngram_full-text_parser et une clause LIMIT.

PostgreSQL 9.6.3

• La visibilité de pg_user_mappings.umoptions est restreinte pour protéger les mots de passe stockés en tant qu’options de mappage corrigeant CVE-2017-7486. Notez que le patch corrige le problème uniquement dans les nouvelles bases de données. Pour appliquer la modification aux bases de données existantes, vous devez suivre plusieurs étapes définies dans les notes de version.
• Correction de l’exposition des informations statistiques via des opérateurs fuyants corrigeant CVE-2017-7484.
• Restauration de la reconnaissance par libpq de la variable d’environnement PGREQUIRESSL corrigeant CVE-2017-7485.

Greenplum Database 4.3.14.0

La nouvelle base de données Greenplum présente plus de fonctionnalités obsolètes que de nouvelles fonctionnalités.

• Ajout du support pour NetBackup 7.7 et les opérations de restauration avec les utilitaires gpdbcrondump et gpdbrestore.
• Le support de Greenplum Database pour la norme fédérale de traitement de l’information (FIPS) dans l’extension pgcrypto est obsolète.
• Le type d’interconnexion UDP a été supprimé. Seuls les types d’interconnexion TCP et UDPIFC sont pris en charge.