Лаборатория Касперского опубликовала отчет по кибератакам на 2016 год. За прошлый год зафиксировано 702 миллиона попыток использования эксплоитов, что на 24,54% больше чем в 2015. Более 297,000 пользователей по всему миру были атакованы при помощи уязвимостей нулевого дня.

Группа хакеров, называющая себя «Shadow Brokers», опубликовала третий архив с эксплоитами, полученными в ходе утечки в Агентстве национальной безопасности США. Помимо описаний уязвимостей нулевого дня операционных систем Windows Vista/2008/XP/2003, архив содержит эксплоиты для банковской системы SWIFT, предназначенного для безопасного проведения транзакций в финансовых учреждениях. Также слиты документы с описаниями архитектуры банковских систем и утилиты для извлечения SWIFT-сообщений и списков клиентов из СУБД Oracle.

Технологический партнер AWS Threat Stack предоставил результаты анализа более 200 компаний, пользующихся приложениями AWS. Три четверти компаний содержат как минимум одну критическую ошибку в настройке, которая может привести к получению доступа к консоли управления AWS или использоваться для маскировки вредоносной деятельности от утилит для мониторинга.

Одна из самых явных ошибок, открытый SSH-туннель, зафиксирован у 73% проанализированных компаний. Это упущение позволяет злоумышленнику попытаться получить удаленный доступ к серверу, обходя VPN и фаерволл. Другая распространенная проблема в неиспользовании многофакторной аутентификации для пользователей AWS, что делает систему уязвимой к брутфорс-атакам. Согласно отчету, менее 13% компаний регулярно обновляют программное обеспечение. Некоторые пользуются версиями программ трехлетней давности.

Critical Patch от Oracle

Oracle выпустил очередной Critical Patch Update, устраняя 299 уязвимостей безопасности на различных продуктах, включая 39 фиксов для Oracle MySQL и 3 для Oracle Database Server.

Oracle database Server Oracle Database Server
CVE№КомпонентТребуемые привилегииПротоколУдаленная экспл-яРейтинг CVSS v3Вектор атаки
CVE-2017-3486SQL*PlusLocal LogonOracle NetNo7.2Local
CVE-2017-3567OJVMCreate Session, Create ProcedureMultipleNo5.3Network
CVE-2016-6290PHPNoneMultipleYes9.8Network


Oracle MySQL
CVE№КомпонентСуб-компонентПротоколУдаленная экспл-яРейтинг CVSS v3Вектор атаки
CVE-2017-5638MySQL Enterprise MonitorMonitoring: General (Struts 2)MySQL ProtocolYes10.0Network
CVE-2016-6303MySQL WorkbenchWorkbench: Security: Encryption (OpenSSL)MySQL ProtocolYes9.8Network
CVE-2017-3523MySQL ConnectorsConnector/JMySQL ProtocolNo8.5Network
CVE-2017-3306MySQL Enterprise MonitorMonitoring: ServerMySQL ProtocolNo8.3Network
CVE-2016-2176MySQL Enterprise BackupBackup: ENTRBACK (OpenSSL)MySQL ProtocolYes8.2Network
CVE-2016-2176MySQL WorkbenchWorkbench: Security: Encryption (OpenSSL)MySQL ProtocolYes8.2Network
CVE-2017-3308MySQL ServerServer: DMLMySQL ProtocolNo7.7Network
CVE-2017-3309MySQL ServerServer: OptimizerMySQL ProtocolNo7.7Network
CVE-2017-3450MySQL ServerServer: MemcachedMySQL ProtocolYes7.5Network
CVE-2017-3599MySQL ServerServer: Pluggable AuthMySQL ProtocolYes7.5Network
CVE-2017-3329MySQL ServerServer: Thread PoolingMySQL ProtocolYes7.5Network
CVE-2017-3600MySQL ServerClient mysqldumpMySQL ProtocolNo6.6Network
CVE-2016-3092MySQL Enterprise MonitorMonitoring: General (Apache Commons FileUpload)MySQL ProtocolNo6.5Network
CVE-2017-3331MySQL ServerServer: DMLMySQL ProtocolNo6.5Network
CVE-2017-3453MySQL ServerServer: OptimizerMySQL ProtocolNo6.5Network
CVE-2017-3452MySQL ServerServer: OptimizerMySQL ProtocolNo6.5Network
CVE-2017-3586MySQL ConnectorsConnector/JMySQL ProtocolNo6.4Network
CVE-2017-3732MySQL Enterprise BackupBackup: ENTRBACK (OpenSSL)MySQL ProtocolYes5.9Network
CVE-2017-3731MySQL Enterprise MonitorMonitoring: General (OpenSSL)MySQL ProtocolYes5.9Network
CVE-2017-3454MySQL ServerServer: InnoDBMySQL ProtocolNo5.5Network
CVE-2017-3304MySQL ClusterCluster: DDMySQL ProtocolNo5.4Network
CVE-2017-3455MySQL ServerServer: Security: PrivilegesMySQL ProtocolNo5.4Network
CVE-2017-3305MySQL ServerServer: C APIMySQL ProtocolNo5.3Network
CVE-2017-3302MySQL ServerServer: C APIMySQL ProtocolNo5.1Local
CVE-2017-3460MySQL ServerServer: Audit Plug-inMySQL ProtocolNo4.9Network
CVE-2017-3456MySQL ServerServer: DMLMySQL ProtocolNo4.9Network
CVE-2017-3458MySQL ServerServer: DMLMySQL ProtocolNo4.9Network
CVE-2017-3457MySQL ServerServer: DMLMySQL ProtocolNo4.9Network
CVE-2017-3459MySQL ServerServer: OptimizerMySQL ProtocolNo4.9Network
CVE-2017-3463MySQL ServerServer: Security: PrivilegesMySQL ProtocolNo4.9Network
CVE-2017-3462MySQL ServerServer: Security: PrivilegesMySQL ProtocolNo4.9Network
CVE-2017-3461MySQL ServerServer: Security: PrivilegesMySQL ProtocolNo4.9Network
CVE-2017-3464MySQL ServerServer: DDLMySQL ProtocolNo4.3Network
CVE-2017-3465MySQL ServerServer: Security: PrivilegesMySQL ProtocolNo4.3Network
CVE-2017-3467MySQL ServerServer: C APIMySQL ProtocolYes3.7Network
CVE-2017-3469MySQL WorkbenchWorkbench: Security : EncryptionMySQL ProtocolYes3.7Network
CVE-2017-3589MySQL ConnectorsConnector/JMySQL ProtocolNo3.3Local
CVE-2017-3590MySQL ConnectorsConnector/PythonNoneNo3.3Local
CVE-2017-3307MySQL Enterprise MonitorMonitoring: ServerMySQL ProtocolNo3.1Network
CVE-2017-3468MySQL ServerServer: Security: EncryptionMySQL ProtocolNo3.1Network

Уязвимости в SAP HANA

SAP пропатчил критическую уязвимость (CVE-2017-7691), влияющую на поисковой движок TREX, интегрированный в HANA и дюжине других продуктов SAP. Уязвимость может быть эксплуатирована удаленно для инъекции вредоносного кода. Рейтинг опасности по CVSS v3 – 9,8.

Найдена еще одна уязвимость в SAP HANA. CVE-2016-6143 позволяет удаленному злоумышленнику внедрить произвольный код.

Релиз MySQL 5.6.36

Новая версия Oracle MySQL содержит исправления ряда багов, в основном в InnoDB и mysql_safe и следующие улучшения безопасности:

  • Исправлены уязвимости в библиотеке OpenSSL.
  • Функция mysql_options() C API теперь поддерживает опцию MYSQL_OPT_SSL_MODE. SSL_MODE_REQUIRED используется для безопасного соединения с сервером.
Безопасность баз данных | дайджест за март 2017
Безопасность баз данных | дайджест за февраль 2017
Безопасность баз данных | дайджест за январь 2017
Комментарии