Revue de Sécurité des Bases de Données – Octobre 2017
Nous vous présentons la rapide revue des actualités de sécurité de base de données d’octobre.
Bad Rabbit : Une autre attaque Ransomware
Une nouvelle vague d’attaques ransomware a frappé la Russie et l’Ukraine, des attaques ont également été signalées en Turquie et en Allemagne. Selon le rapport de Kaspersky Lab, Bad Rabbit utilise des méthodes similaires à celles utilisées dans l’attaque ExPetr.
Le ransomware n’utilise aucune exploitation, les victimes doivent lancer manuellement le fichier install_flash_player.exe téléchargé à partir d’un site légitime infecté. Lorsqu’il est lancé, il télécharge un logiciel malveillant de chiffrement de fichiers qui peut forcer brutalement les identifiants de connexion NTLM vers des machines Windows qui ont une adresse IP pseudo-aléatoire. De plus, le logiciel malveillant chiffre les données de la victime en utilisant la clé publique RSA-2048 du criminel.
Vulnérabilité d’Injection SQL dans SmartVista
Rapid7 a divulgué les détails d’une vulnérabilité d’injection SQL dans SmartVista, qui est une plateforme de commerce électronique vendue dans 66 pays et développée par BPC Banking Technologies. La vulnérabilité n’a affecté que la version 2.2.10 de SmartVista Front-End et a été corrigée dans les versions ultérieures du logiciel. Une exploitation réussie permet à un attaquant de récupérer des données sensibles, y compris les noms d’utilisateur et les mots de passe du backend de la base de données. Les vulnérabilités détectées sont basées sur le temps et basées sur un booléen. L’exploitation nécessite un accès authentifié au système SmartVista.
Toujours des fuites de Buckets Amazon S3 mal configurés
Dans les précédentes revues, nous avons déjà mentionné les buckets Amazon S3 laissés avec les paramètres par défaut, et ce mois-ci il y a un autre exemple d’attitude irresponsable envers le stockage de données sensibles. Accenture PLC, une société mondiale de conseil en gestion, a exposé ses clés privées internes, des données API secrètes et d’autres informations. Les serveurs étaient totalement non sécurisés, les attaquants devaient seulement connaître l’adresse URL.
3 milliards de comptes Yahoo piratés
Ce mois-ci, Yahoo (maintenant partie de Oath) a révélé les détails de l’enquête en cours sur la plus grande violation de données de l’histoire qui s’est produite en 2013. Selon le dernier avis, environ 3 milliards de comptes ont été compromis. Les autorités d’enquête indiquent que les fichiers volés n’incluent pas de données de carte de paiement, d’informations de compte bancaire et de mots de passe en clair. La société continue à notifier les utilisateurs supplémentaires affectés.
Dangereuse expansion d’un nouveau bot DDoS
IBTimes a rapporté l’IoT Reaper, un botnet récemment découvert qui utilise des vulnérabilités non corrigées pour asservir des caméras et des routeurs connectés au web. Le code est emprunté au botnet Mirai, et selon les chercheurs, il peut faire tomber Internet.
Vulnérabilité dans les dérivés de MySQL
CVE-2017-15945Les scripts d’installation de dérivés de MySQL (dev-db/mysql, dev-db/mariadb, dev-db/percona-server, dev-db/mysql-cluster, et dev-db/mariadb-galera) contiennent une vulnérabilité qui permet d’utiliser l’accès au compte mysql pour la création d’un lien.
Les scripts d’installation dans les packages Gentoo avant le 29/09/2017 ont des appels chown pour les arbres de répertoires accessibles en écriture par l’utilisateur, ce qui permet aux utilisateurs locaux de gagner des privilèges en utilisant l’accès au compte mysql pour la création d’un lien.
Patch critique Oracle
Oracle a publié une nouvelle mise à jour critique de sécurité qui corrige 252 vulnérabilités de sécurité.
Elle contient 25 correctifs de sécurité pour Oracle MySQL, dont 6 sont exploitables à distance sans authentification, et 6 correctifs pour Oracle Database, dont 2 sont exploitables à distance sans authentification.
Matrice de risque Oracle MySQL| CVE# | Composant | Exploit à distance sans auth | Score de gravité CVSS | Vecteur d’attaque | Complexité d’attaque |
| CVE-2017-10424 | Surveillance : Web | Oui | 8.8 | Réseau | Faible |
| CVE-2017-5664 | Surveillance : Général (Apache Tomcat) | Oui | 7.5 | Réseau | Faible |
| CVE-2017-10155 | Serveur : Auth plug-in | Oui | 7.5 | Réseau | Faible |
| CVE-2017-3731 | Serveur : Sécurité : Chiffrement (OpenSSL) | Oui | 7.5 | Réseau | Faible |
| CVE-2017-10379 | Programmes Clients | Non | 6.5 | Réseau | Faible |
| CVE-2017-10384 | Serveur : DDL | Non | 6.5 | Réseau | Faible |
| CVE-2017-10276 | Serveur : FTS | Non | 6.5 | Réseau | Faible |
| CVE-2017-10167 | Serveur : Optimiseur | Non | 6.5 | Réseau | Faible |
| CVE-2017-10378 | Serveur : Optimiseur | Non | 6.5 | Réseau | Faible |
| CVE-2017-10277 | Connector/Net | Oui | 5.4 | Réseau | Faible |
| CVE-2017-10203 | Connector/Net | Oui | 5.3 | Réseau | Faible |
| CVE-2017-10283 | Serveur : Performance Schema | Non | 5.3 | Réseau | Élevée |
| CVE-2017-10313 | Group Replication GCS | Non | 4.9 | Réseau | Faible |
| CVE-2017-10296 | Serveur : DML | Non | 4.9 | Réseau | Faible |
| CVE-2017-10311 | Serveur : FTS | Non | 4.9 | Réseau | Faible |
| CVE-2017-10320 | Serveur : InnoDB | Non | 4.9 | Réseau | Faible |
| CVE-2017-10314 | Serveur : Memcached | Non | 4.9 | Réseau | Faible |
| CVE-2017-10227 | Serveur : Optimiseur | Non | 4.9 | Réseau | Faible |
| CVE-2017-10279 | Serveur : Optimiseur | Non | 4.9 | Réseau | Faible |
| CVE-2017-10294 | Serveur : Optimiseur | Non | 4.9 | Réseau | Faible |
| CVE-2017-10165 | Serveur : Réplication | Non | 4.9 | Réseau | Faible |
| CVE-2017-10284 | Serveur : Procédure stockée | Non | 4.9 | Réseau | Faible |
| CVE-2017-10286 | Serveur : InnoDB | Non | 4.4 | Réseau | Élevée |
| CVE-2017-10268 | Serveur : Réplication | Non | 4.1 | Local | Élevée |
| CVE-2017-10365 | Serveur : InnoDB | Non | 3.8 | Réseau | Faible |
Matrice de risques de base de données Oracle
| CVE# | Composant | Paquet et/ou Privilège requis | Protocole | Exploitation à distance sans Auth. ? | Score de base | Vecteur d’attaque | Complexité d’attaque |
| CVE-2017-10321 | Core RDBMS | Créer une session | Oracle Net | Non | 8.8 | Local | Faible |
| CVE-2016-6814 | Spatial (Apache Groovy) | Aucun | Multiple | Oui | 8.3 | Réseau | Élevée |
| CVE-2017-10190 | Machine virtuelle Java | Créer une session, Créer une procédure | Multiple | Non | 8.2 | Local | Faible |
| CVE-2016-8735 | WLM (Apache Tomcat) | Aucun | Multiple | Oui | 8.1 | Réseau | Élevée |
| CVE-2017-10261 | Base de données XML | Créer une session | Oracle Net | Non | 6.5 | Local | Faible |
| CVE-2017-10292 | Sécurité RDBMS | Créer un utilisateur | Oracle Net | Non | 2.3 | Local | Faible |
Sortie de MySQL 5.7.20
La version contient plusieurs corrections de bugs dans les moteurs InnoDB et Replication, des changements mineurs dans la fonctionnalité et les améliorations de sécurité suivantes :
- Les certificats générés automatiquement par mysqld et mysql_ssl_rsa_setup utilisent maintenant X509 v3 au lieu de v1.
- Le plugin keyring_okv prend désormais en charge la protection par mot de passe du fichier de clés utilisé pour les connexions sécurisées.
Consultez les notes de version pour plus de détails.
Pivotal Greenplum 5.1.0
La version inclut des améliorations de produits, introduit de nouvelles fonctionnalités et résout certains problèmes connus. Consultez les notes de version pour une description détaillée.
Revue de Sécurité des Bases de Données – Septembre Revue de Sécurité des Bases de Données – Août Revue de Sécurité des Bases de Données – Juillet