Duizenden Ubuntu-servers kwetsbaar voor MySQL-lek
Tienduizenden Ubuntu-servers zijn mogelijk kwetsbaar voor een lek in MySQL waardoor aanvallers de authenticatie kunnen omzeilen en toegang tot de database kunnen krijgen. Het gaat om kwetsbaarheid (CVE-2012-2122) in de MySQL en MariaDB databaseservers. Het lek zou onlangs gepatcht zijn, aldus H.D. Moore van Rapid7 en tevens bedenker van hackertool Metasploit.
Via de kwetsbaarheid heeft een aanvaller een kans van 1 op 256 dat een willekeurig wachtwoord wordt geaccepteerd. Hoewel de kwetsbare code in verschillende MySQL en MariaDB-versies aanwezig is, loopt slechts een klein aantal systemen risico, stelt Moore. Het gaat dan om het gebruik van een specifieke geheugenroutine. Voor zover bekend zijn Ubuntu Linux 64-bit, OpenSuse 12.1 64-bit MySQL 5.5.23-log, Fedora 16 64-bit en Arch Linux kwetsbaar.
Metasploit
De meeste Linux-distributues zouden inmiddels al over een patch beschikken en anders zal die snel verschijnen, laat Moore weten. De beveiligingsonderzoeker analyseerde 1,74 miljoen MySQL-servers op internet. Daarbij vond hij 44.000 Ubuntu-systemen. Het is echter onbekend of het hier om de 32-bit of de kwetsbare 64-bit versie gaat.
Inmiddels is er een module aan hackertool Metasploit toegevoegd, die het aanvallen van de kwetsbaarheid een stuk eenvoudiger maakt. Daarnaast dumpt de module ook de wachtwoorden database. Als de kwetsbaarheid wordt verholpen, zouden aanvallers via de de gekraakte wachtwood-hashes nog steeds toegang tot de databases kunnen krijgen.
Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc )
OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc )
Fedora 16 64-bit ( via hexed )
Arch Linux (unspecified version)
Feedback so far indicates the following platforms are NOT vulnerable:
Official builds from MySQL and MariaDB (including Windows)
Red Hat Enterprise Linux, CentOS (32-bit and 64-bit) [ not conclusive ]
Ubuntu Linux 32-bit (10.04, 11.10, 12.04, likely all)
Debian Linux 6.0.3 64-bit (Version 14.14 Distrib 5.5.18)
Debian Linux lenny 32-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.1.51-1-log ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.49-3-log ( via @matthewbloch )
Debian Linux squeeze 32-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Gentoo 64-bit 5.1.62-r1 ( via @twit4c )
SuSE 9.3 i586 MySQL 4.1.10a ( via @twit4c )
Bron: https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql
Vergeet niet dat hiermee root access tot de MySQL database is te verkrijgen en zo (onder meer) klanten van webhosting bedrijven tot de gegevens (lees: wachtwoorden, privé gegens etcetera) van andere partijen kunnen komen. Als je even goed doordenkt kan dit eventueel desastreuze gevolgen hebben.
Los daarvan, het zal je nog verbazen hoeveel MySQL databases van buitenaf benaderbaar zijn, vooral als de database op een andere server is gehost dan bijv een website die er gebruik van maakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
