Originalartikel von Pavithra Hanchagaiah, Senior Security Researcher
Während der letzten Monate ist MySQL von einer ganzen Reihe von Zero-Day-Exploits buchstäblich überflutet worden. Kingcope hat diese Exploits aufgezeigt und Machbarkeitsbeweise für alle die Sicherheitslücken erbracht.
Die neu entdeckten Exploits greifen MySQL auf verschiedene Weise an, so etwa über Anwendungs-Crash/Denial-of-Service, Anheben von Berechtigungen, Umgehen der Authentifizierung, Remote Root auf Windows-Systemen und Heap/Stack-Overrun. Der Anbieter hat die Sicherheitslücken bestätigt und sie mit CVE-IDs versehen: CVE-2012-5611, CVE-2012-5612, CVE-2012-5613, CVE-2012-5614 sowie CVE-2012-5615.
Zwei der kritischen Sicherheitsprobleme, ExploitDB: 23073 & 23083, erlauben remote authentifizierten Angreifern, auf die Shell eines Windows-Systems zuzugreifen, indem sie speziell aufgesetzte Anfragen senden.
Nachfolgend die weiteren kritischen Probleme:
- (CVE-2012-5611). Diese Sicherheitslücke wird angesprochen, indem ein zu langes Argument an den Befehl GRANT FILE geschickt wird, der dann zu einem Stack Buffer Overflow führt. Damit können Angreifer aus der Ferne Zufallscode ausführen oder einen Datenbank-Crash herbeiführen. Um diese Lücke auszunützen, bedarf es jedoch eines gültigen Benutzernamens und Kennworts.
- (CVE-2012-5612). Dies ist eine Heap Buffer Overflow-Lücke, die von einer Reihe von zusammengestellten Befehlen wie USE, SHOW TABLES, DESCRIBE, CREATE TABLE, DROP TABLE, ALTER TABLE, DELETE FROM, UPDATE, SET PASSWORD usw. erzeugt wird. Wird die Lücke missbraucht, so können Angreifer, die sich remote authentifizieren, mit nur geringen Privilegien das aktuelle Kennwort eines Nutzers auf einen undefinierten Wert setzen.
- (CVE-2012-5614). Diese Lücke führt zu einem Service-Crash über den Befehl SELECT mit einem UpdateXMLKommando, das XML mit einer großen Zahl von einzigartigen, verschachtelten Elementen enthält. Ein solcher Angriff bedarf ebenfalls der Authentifizierung mit einem gültigen Benutzernamen und Kennwort.
- (CVE-2012-5614). Diese Aufzählungs-Lücke erlaubt es entfernten Angreifern, basierend auf den generierten Fehlermeldungen, alle gültigen Nutzernamen zu sehen.
- (CVE-2012-5613). Die Lücke gilt nicht als Sicherheitsfehler, denn sie ist das Ergebnis einer Fehlkonfiguration. Dennoch können darüber remote authentifizierte Angreifer Admin-Berechtigungen erlangen. Ein Angreifer mit ‘FILE’-Berechtigung aber kann einen neuen Nutzer erzeugen, der vollständigen Zugriff ähnlich dem MySQL-Admin hat.
Die MySQL-Datenbank ist für ihre hohe Performance, hohe Zuverlässigkeit und Benutzerfreundlichkeit bekannt. Sie läuft sowohl auf Windows- als auch auf Nicht-Windows-Plattformen wie Unix, Mac OS, Solaris, IBM AIX und anderen. Ihre Beliebtheit ist schnell gestiegen, und viele große Unternehmen wie Facebook, Google und Adobe setzen darauf. Das ist auch der Grund dafür, dass sie für Cyberkriminelle so interessant ist.
Anwender von Trend Micro Deep Security erhalten Hilfe für die Sicherheitsprobleme. Der Anbieter hat ein Update 12-032 mit einer Reihe von DPI-Regeln veröffentlicht. Anwender sollten dringend die folgenden DPI-Regeln aufspielen:
Exploit DB | CVE ID | DPI Rule Name |
23076 MySQL (Linux) Heap Based Overrun PoC Zeroday | CVE-2012-5612 | 1005264 – Oracle MySQL Server Command Length Restriction |
23081 MySQL Remote Preauth User Enumeration Zeroday | CVE-2012-5615 | 1005045 – MySQL Database Server Possible Login Brute Force Attempt* |
23078 MySQL Denial of Service Zeroday PoC | CVE-2012-5614 | 1005265 – Oracle MySQL Server Denial Of Service Vulnerability |
23083 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day |
1005263 – Windows MySQL Server Remote Code Execution | |
23075 MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday | CVE-2012-5611 | 1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability |
23077 MySQL (Linux) Database Privilege Elevation Zero day Exploit | CVE-2012-5613 | 1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability |
23073 MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot) | 1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability* |
*Out-of-box Coverage – Diese Sicherheitslücken werden von den vorhandenen DPI-Regeln abgedeckt.
Trend Micros DPI-Regeln können die Nutzer gegen alle bislang bekannten Exploits schützen