Duizenden Ubuntu-servers kwetsbaar voor MySQL-lek
Tienduizenden Ubuntu-servers zijn mogelijk kwetsbaar voor een lek in MySQL waardoor aanvallers de authenticatie kunnen omzeilen en toegang tot de database kunnen krijgen. Het gaat om kwetsbaarheid (CVE-2012-2122) in de MySQL en MariaDB databaseservers. Het lek zou onlangs gepatcht zijn, aldus H.D. Moore van Rapid7 en tevens bedenker van hackertool Metasploit.
Via de kwetsbaarheid heeft een aanvaller een kans van 1 op 256 dat een willekeurig wachtwoord wordt geaccepteerd. Hoewel de kwetsbare code in verschillende MySQL en MariaDB-versies aanwezig is, loopt slechts een klein aantal systemen risico, stelt Moore. Het gaat dan om het gebruik van een specifieke geheugenroutine. Voor zover bekend zijn Ubuntu Linux 64-bit, OpenSuse 12.1 64-bit MySQL 5.5.23-log, Fedora 16 64-bit en Arch Linux kwetsbaar.
Metasploit
De meeste Linux-distributues zouden inmiddels al over een patch beschikken en anders zal die snel verschijnen, laat Moore weten. De beveiligingsonderzoeker analyseerde 1,74 miljoen MySQL-servers op internet. Daarbij vond hij 44.000 Ubuntu-systemen. Het is echter onbekend of het hier om de 32-bit of de kwetsbare 64-bit versie gaat.
Inmiddels is er een module aan hackertool Metasploit toegevoegd, die het aanvallen van de kwetsbaarheid een stuk eenvoudiger maakt. Daarnaast dumpt de module ook de wachtwoorden database. Als de kwetsbaarheid wordt verholpen, zouden aanvallers via de de gekraakte wachtwood-hashes nog steeds toegang tot de databases kunnen krijgen.
Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc )
OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc )
Fedora 16 64-bit ( via hexed )
Arch Linux (unspecified version)
Feedback so far indicates the following platforms are NOT vulnerable:
Official builds from MySQL and MariaDB (including Windows)
Red Hat Enterprise Linux, CentOS (32-bit and 64-bit) [ not conclusive ]
Ubuntu Linux 32-bit (10.04, 11.10, 12.04, likely all)
Debian Linux 6.0.3 64-bit (Version 14.14 Distrib 5.5.18)
Debian Linux lenny 32-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.1.51-1-log ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.49-3-log ( via @matthewbloch )
Debian Linux squeeze 32-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Gentoo 64-bit 5.1.62-r1 ( via @twit4c )
SuSE 9.3 i586 MySQL 4.1.10a ( via @twit4c )
Bron: https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql
Vergeet niet dat hiermee root access tot de MySQL database is te verkrijgen en zo (onder meer) klanten van webhosting bedrijven tot de gegevens (lees: wachtwoorden, privé gegens etcetera) van andere partijen kunnen komen. Als je even goed doordenkt kan dit eventueel desastreuze gevolgen hebben.
Los daarvan, het zal je nog verbazen hoeveel MySQL databases van buitenaf benaderbaar zijn, vooral als de database op een andere server is gehost dan bijv een website die er gebruik van maakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.