Mehrfache Zero-Day-Angriffe bedrohen Oracle MySQL-Server

Originalartikel von Pavithra Hanchagaiah, Senior Security Researcher

Während der letzten Monate ist MySQL von einer ganzen Reihe von Zero-Day-Exploits buchstäblich überflutet worden. Kingcope hat diese Exploits aufgezeigt und Machbarkeitsbeweise für alle die Sicherheitslücken erbracht.

Die neu entdeckten Exploits greifen MySQL auf verschiedene Weise an, so etwa über Anwendungs-Crash/Denial-of-Service, Anheben von Berechtigungen, Umgehen der Authentifizierung, Remote Root auf Windows-Systemen und Heap/Stack-Overrun. Der Anbieter hat die Sicherheitslücken bestätigt und sie mit CVE-IDs versehen: CVE-2012-5611, CVE-2012-5612, CVE-2012-5613, CVE-2012-5614 sowie CVE-2012-5615.

Zwei der kritischen Sicherheitsprobleme, ExploitDB: 23073 & 23083, erlauben remote authentifizierten Angreifern, auf die Shell eines Windows-Systems zuzugreifen, indem sie speziell aufgesetzte Anfragen senden.

Nachfolgend die weiteren kritischen Probleme:

  •  (CVE-2012-5611). Diese Sicherheitslücke wird angesprochen, indem ein zu langes Argument an den Befehl GRANT FILE geschickt wird, der dann zu einem Stack Buffer Overflow führt. Damit können Angreifer aus der Ferne Zufallscode ausführen oder einen Datenbank-Crash herbeiführen. Um diese Lücke auszunützen, bedarf es jedoch eines gültigen Benutzernamens und Kennworts.
  • (CVE-2012-5612). Dies ist eine Heap Buffer Overflow-Lücke, die von einer Reihe von zusammengestellten Befehlen wie USE, SHOW TABLES, DESCRIBE, CREATE TABLE, DROP TABLE, ALTER TABLE, DELETE FROM, UPDATE, SET PASSWORD usw. erzeugt wird. Wird die Lücke missbraucht, so können Angreifer, die sich remote authentifizieren, mit nur geringen Privilegien das aktuelle Kennwort eines Nutzers auf einen undefinierten Wert setzen.
  • (CVE-2012-5614). Diese Lücke führt zu einem Service-Crash über den Befehl SELECT mit einem UpdateXMLKommando, das XML mit einer großen Zahl von einzigartigen, verschachtelten Elementen enthält. Ein solcher Angriff bedarf ebenfalls der Authentifizierung mit einem gültigen Benutzernamen und Kennwort.
  • (CVE-2012-5614). Diese Aufzählungs-Lücke erlaubt es entfernten Angreifern, basierend auf den generierten Fehlermeldungen, alle gültigen Nutzernamen zu sehen.
  • (CVE-2012-5613). Die Lücke gilt nicht als Sicherheitsfehler, denn sie ist das Ergebnis einer Fehlkonfiguration. Dennoch können darüber remote authentifizierte Angreifer Admin-Berechtigungen erlangen. Ein Angreifer mit ‘FILE’-Berechtigung aber kann einen neuen Nutzer erzeugen, der vollständigen Zugriff ähnlich dem MySQL-Admin hat.

 

Die MySQL-Datenbank ist für ihre hohe Performance, hohe Zuverlässigkeit und Benutzerfreundlichkeit bekannt. Sie läuft sowohl auf Windows- als auch auf Nicht-Windows-Plattformen wie Unix, Mac OS, Solaris, IBM AIX und anderen. Ihre Beliebtheit ist schnell gestiegen, und viele große Unternehmen wie Facebook, Google und Adobe setzen darauf. Das ist auch der Grund dafür, dass sie für Cyberkriminelle so interessant ist.

Anwender von Trend Micro Deep Security erhalten Hilfe für die Sicherheitsprobleme. Der Anbieter hat ein Update 12-032 mit einer Reihe von DPI-Regeln veröffentlicht. Anwender sollten dringend die folgenden DPI-Regeln aufspielen:

Exploit DB CVE ID DPI Rule Name
23076 MySQL (Linux) Heap Based Overrun PoC Zeroday CVE-2012-5612 1005264 – Oracle MySQL Server Command Length Restriction
23081 MySQL Remote Preauth User Enumeration Zeroday CVE-2012-5615 1005045 – MySQL Database Server Possible Login Brute Force Attempt*
23078 MySQL Denial of Service Zeroday PoC CVE-2012-5614 1005265 – Oracle MySQL Server Denial Of Service Vulnerability
23083 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day
1005263 – Windows MySQL Server Remote Code Execution
23075 MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday CVE-2012-5611 1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23077 MySQL (Linux) Database Privilege Elevation Zero day Exploit CVE-2012-5613 1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23073 MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot) 1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability*

*Out-of-box Coverage – Diese Sicherheitslücken werden von den vorhandenen DPI-Regeln abgedeckt.

Trend Micros DPI-Regeln können die Nutzer gegen alle bislang bekannten Exploits schützen

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*