По сложившейся традиции предлагаем вашему вниманию информацию о наиболее масштабных инцидентах в сфере информационной безопасности за декабрь.

Появились новые подробности о взломе сервиса Yahoo!Mail, относящийся ко второй в мире по популярности поисковой системе. Стало известно, что скомпрометировано более миллиарда аккаунтов пользователей. Хакер (предположительно федеральный агент, связанный с утечкой в 2014) получил доступ к проприетарному коду Yahoo! для подделывания файлов cookie.

В начале месяца была осуществлена атака на российский банк. Преступники внедрились в автоматизированную банковскую систему и похитили около 100 млн рублей.

Утечка данных произошла у создателей французского видеохостинга Dailymotion. Скомпрометировано 82,5 млн аккаунтов, включая логины, email адреса и хэшированные пароли. Пароли защищены Bcrypt алгоритмом, но решительно настроенные взломщики все же могут расшифровать хэши.

Злоумышленники взломали сайт компании PayAsUGym, занимающейся предоставлением услуг в сфере фитнеса, и похитили данные 300 млн клиентов. Фирма утверждает, что пароли зашифрованы, однако, известно, что использовался MD5 алгоритм с хэшами без солей. MD5 считается устаревшей для современного мира, поскольку хэшированные пароли легко расшифровать брутфорсом. Еще один яркий пример пренебрежения информационной безопасностью.

Известный хакер и пентестер Kaputskiy взломал сайт Национальной Ассамблеи Эквадора и слил часть данных. Ранее этим месяцем Kaputskiy и Kazimierz L взломали официальный сайта Министерства промышленности Аргентины. Обе атаки были осуществлены при помощи внедрения SQL кода.

Один из крупнейших промышленных концернов Германии ThyssenKrupp подвергся таргетированной атаке, целью которой была кража корпоративных ноу-хау и данных исследований. К счастью для концерна, атаку удалось обнаружить на ранней стадии, что помогло избежать серьезных последствий.

Безопасность баз данных

В этом месяце были обнаружены следующие уязвимости:

Oracle CVE-2016-9013

В версиях Django до 1.8.16, 1.9.11 и 1.10.3 используется закодированный пароль для временного пользователя БД при запуске тестов для БД Oracle. Уязвимость позволяет злоумышленнику удаленно получить доступ к серверу БД, введя пароль в библиотеке TEST.

Рейтинг опасности по CVSS: 9.8

MySQL CVE-2016-6664

Появились новые подробности об упомянутой в октябрьском дайджесте уязвимости.

Позволяет локальным пользователям, имеющим доступ к аккаунту mysql, получить root привилегии при помощи symlink атаки на логи ошибок.

Рейтинг опасности по CVSS: 7.0

CVE-2016-6663

Позволяет локальным пользователям повысить привилегии, используя команду REPAIR TABLE для функции my_copystat, направленную на таблицу MyISAM.

Рейтинг опасности по CVSS: 7.0 High

CVE-2016-9864

Позволяет злоумышленнику, знающему имя таблицы, внедрить SQL-код в функцию отслеживания, которая будет осуществляться с пользовательскими привилегиями. Дает возможность получения доступа чтения и редактирования к таблицам настройки хранения данных, если у пользователя есть требуемые привилегии, атакующий может читать некоторые таблицы из БД MySQL.

Рейтинг опасности по CVSS: 7.5

CVE-2016-6607

XSS атака на phpMyAdmin. Полученные данные колонок поиска Zoom могут быть использованы для XSS атаки. Определенные поля в редакторе GIS не разделены в нужном порядке, что может использоваться для XSS атаки.

Рейтинг опасности по CVSS: 6.1

MariaDB

CVE-2016-7740

Упрощает для локального пользователя поиск AES ключей, эксплуатируя временную разность в памяти кэша.

Рейтинг опасности по CVSS: 5.5

Greenplum Database CVE-2016-6656

Pivotal Greenplum версий до  4.3.10.0. Позволяет внедрить произвольный код, эксплуатируя уязвимость в процессе создания внешних таблиц, используя GPHDFS. Требуется привилегии супер-пользователя или разрешение на  GPHDS.

Рейтинг опасности по CVSS: 7.2

MySQL 5.6.35

Новый релиз содержит фиксы известных багов, улучшения производительности и безопасности.

Изменения, касательные системы безопасности, включают:

  • Команда chown теперь может использована только если целевой каталог /var/log. Если каталог для сокета Unix отсутствует, выдается ошибка. Небезопасное использование команд rm и chown в разделе mysql_safe опции my.cng может привести к расширению привилегий.
  • Опция —ledir, не вызывается через файлы опций. Теперь она может вызываться только через командную строку.
  • Удалены неиспользуемые системные файлы для SLES.
  • Новый плагин Connection-control. После определенного количества неудачных попыток авторизоваться как пользователь MySQL, увеличивается ожидание отклика сервера. Новый плагин разработан для замедления брутфорс подбора пароля.

Greenplum Database 4.3.11.0

    Новая версия Greenplum  включает следующие изменения:
  • Усовершенствованное выполнение запросов PQO;
  • Оптимизация управления хранилищем данных в БД;
  • Улучшено выполнение отмены запроса;
  • Улучшено выполнение запросов агрегатов хэша;
  • Улучшено управление удаленными колонками в неизменяемых таблицах;
  • Усовершенствованная PL/Java среда для разработки.

Teradata Database 16.00

В новой версии Teradata много новых фич и улучшений. Подробное описание изменений на официальном сайте.

Касательно системы безопасности, релиз содержит следующие изменения.

Облегченный протокол для доступа к службе каталога (LDAP). Он позволяет клиентам использовать существующий каталог сервиса для авторизации пользователей Teradata. Авторизация работает с сервер-каталогами, поддерживающими LDAPv3 (LDAP и KRB5).

Инструмент tdgssauth используется для тестировки механизма безопасности TDGSS на узлах БД Teradata и серверах Unity Director. Несмотря на то, что tdgssauth не может тестировать механизмы прокси, это хорошее дополнение для системы безопасности, которое позволяет устранять ошибки без остановки работы БД.

Безопасность баз данных | дайджест за ноябрь
Безопасность баз данных | дайджест за октябрь 2016
Безопасность баз данных | дайджест за сентябрь 2016
Комментарии