Digest Sicurezza Database per Marzo 2017
Il mese scorso Gemalto ha pubblicato i risultati della loro ricerca sulle violazioni dei dati, rivelando un aumento dell’86% rispetto al 2015. Sono stati compromessi 1,4 miliardi di record di dati durante il 2016. Per tenerla consapevole delle ultime tendenze, abbiamo combinato le notizie del mese scorso sugli incidenti di sicurezza dei database, nuove vulnerabilità e patch dei sistemi di gestione dei database.
Incidenti di Cybersecurity
Dopo la sfilza di attacchi a MongoDB, l’FBI ha avvertito dell’aumento dell’attività criminale che prende di mira i server FTP utilizzati da organizzazioni mediche e odontoiatriche configurati per consentire l’accesso anonimo senza autenticazione. Gli amministratori devono assicurarsi che EPHI (informazioni sanitarie protette elettroniche) o PII (informazioni di identificazione personale) non siano memorizzate sui server FTP dove la modalità anonima è abilitata.
Riguardo alla famigerata violazione di Yahoo!, gli Stati Uniti hanno incriminato due agenti dei servizi di intelligence russi e due hacker russi. Uno degli uomini accusati è stato arrestato in Canada. L’incriminazione sostiene che ufficiali del Centro per la Sicurezza delle Informazioni dell’FSB abbiano collaborato con criminali informatici per violare la rete di Yahoo! e accedere alle informazioni degli account e ai dati proprietari sulla creazione di cookie utilizzati per accedere agli account Yahoo!. Secondo l’incriminazione, l’obiettivo dell’attacco non era solo la raccolta di informazioni ma anche il guadagno finanziario privato. Nel frattempo, un milione di password degli account Yahoo! e Gmail sono in vendita nel dark web.
Neiman Marcus ha accettato di pagare 1,6 milioni di dollari per risolvere una violazione dei dati. Nel dicembre 2013, il grande magazzino di lusso americano Neiman Marcus è stato attaccato, risultando nell’esposizione delle informazioni sulle carte di credito dei suoi 350.000 clienti. Quindi ora l’azienda deve pagare una fortuna per la non conformità con la legislazione sulla sicurezza informatica.
ABTA, l’associazione commerciale del turismo che rappresenta agenti di viaggio e tour operator nel Regno Unito, ha avvisato gli utenti riguardo a una violazione dei dati. Si ritiene che siano stati coinvolti 43.000 dei suoi clienti. I dati rubati includono indirizzi email, password crittografate dei clienti ABTA, dettagli di contatto dei clienti dei membri ABTA che hanno utilizzato il sito web per registrare un reclamo. Secondo ABTA, la maggior parte delle password erano criptate e il rischio di furto di identità e frode online è basso.
Sicurezza nel Database
Nell’ultima settimana di marzo, Percona ha annunciato il rilascio di Percona Server 5.7.17-12, basato su MySQL 5.7.17.
Il rilascio contiene correzioni di bug e crash e c’è una nuova funzionalità mysqldump che aiuta a fare il backup dei server e ricaricare i file di dump. La funzionalità contiene anche una vulnerabilità che verrà menzionata più avanti.
CVE-2016-5483
Una vulnerabilità rilevata nell’utilità mysqldump di MySQL, utilizzata per creare backup logici dei database. CVE-2016-5483 consente a un attaccante di eseguire query SQL arbitrarie e comandi shell, quando si recupera il backup utilizzando l’utilità mysqldump. Per sfruttare la vulnerabilità, un attaccante deve acquisire privilegi per creare tabelle.
MariaDB 10.1.22
Oltre a correggere alcune problematiche note, la nuova versione di MariaDB risolve due vulnerabilità di sicurezza:
CVE-2017-3313Punteggio di gravità CVSS: 4.7
Vulnerabilità localmente sfruttabile nel MySQL Server (sottocomponente MyISAM). Una vulnerabilità difficile da sfruttare che permette a un attaccante con pochi privilegi e accesso al login dell’infrastruttura dove viene eseguito MySQL Server di compromettere MySQL Server. Un attacco riuscito può comportare accesso non autorizzato a dati critici o accesso completo a tutti i dati accessibili dal MySQL Server.
CVE-2017-3302Punteggio di gravità CVSS: 7.5
Una vulnerabilità sfruttabile da remoto consente di interrompere il servizio causando un crash in libmysqlclient.so. Versioni colpite: MariaDB fino a 5.5.54 e 10.0.29, MySQL di Oracle prima di 5.6.21 e 5.7.5.
Nuove Vulnerabilità di Sicurezza
Punteggio di gravità CVSS: 5.9
Un’altra vulnerabilità è stata trovata in xbcrypt in Percona XtraBackup prima di 2.3.6 e nella versione 2.4.x fino a 2.4.5. Esiste a causa di una correzione incompleta per CVE-2013-6394. Lo strumento xbcrypt supporta la crittografia e decrittografia dei backup. Come si è scoperto, non imposta correttamente il vettore di inizializzazione (IV) per la crittografia, consentendo agli attaccanti dipendenti dal contesto di ottenere dati sensibili dai file di backup crittografati tramite un attacco a testo scelto. La vulnerabilità è sfruttabile da remoto.
Punteggio di gravità CVSS: 3.1
Una nuova vulnerabilità trovata in IBM DB2 consente a un attaccante autenticato di visualizzare tabelle che non è autorizzato a visualizzare. La vulnerabilità è sfruttabile da remoto e richiede autenticazione.
Patch di Sicurezza SAP HANA
SAP ha corretto una serie di vulnerabilità critiche nella sua piattaforma aziendale basata sul cloud HANA. Se sfruttate, potrebbero portare a un’intera compromissione del sistema senza autenticazione. Un attaccante potrebbe rubare dati riservati nel database, interrompere processi aziendali chiave e modificare il codice HTML per i siti che eseguono HANA XS, anche senza avere un nome utente o una password legittimi.
Queste vulnerabilità colpiscono il componente User Self Service (USS) che consente l’auto-registrazione, il cambio e il reset della password. Il servizio è disabilitato per impostazione predefinita, ma alcuni utenti lo attivano per consentire agli utenti esterni di accedere a capacità interne.
La vulnerabilità in USS è stimata 9.8 dal CVSS, il che consente a un attaccante remoto di prendere il controllo completo di SAP HANA senza un nome utente e una password. È fortemente consigliato disattivare il servizio o applicare la patch.
Un’altra vulnerabilità, di fissazione della sessione (8.8 CVSS), permette a un attaccante di elevare i privilegi impersonando un altro utente nel sistema.
La Patch di Sicurezza di Marzo contiene anche correzioni per vulnerabilità DoS, esecuzione di codice remoto, XSS e SQL injection di alcuni componenti. Gli sviluppatori di SAP raccomandano di applicare le patch ai database HANA il prima possibile.
Digest Sicurezza Database – FebbraioDigest Sicurezza Database – Gennaio
Digest Sicurezza Database – Dicembre
