MySQL-Admins sollten dringend ihre Installationen überprüfen und insbesondere lokale Zugänge (beispielsweise von WebApps) entsprechend absichern:
https://isc.sans.edu/diary/14611
Die ersten Exploits sind bereits im Umlauf.
MySQL 0Day Exploits
MySQL 0Day Exploits
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: MySQL 0Day Exploits
Die entsprechenden Posts auf Full-Disclosure:
http://seclists.org/fulldisclosure/2012/Dec/4
http://seclists.org/fulldisclosure/2012/Dec/5
http://seclists.org/fulldisclosure/2012/Dec/6
http://seclists.org/fulldisclosure/2012/Dec/7
http://seclists.org/fulldisclosure/2012/Dec/8
http://seclists.org/fulldisclosure/2012/Dec/9
http://seclists.org/fulldisclosure/2012/Dec/4
http://seclists.org/fulldisclosure/2012/Dec/5
http://seclists.org/fulldisclosure/2012/Dec/6
http://seclists.org/fulldisclosure/2012/Dec/7
http://seclists.org/fulldisclosure/2012/Dec/8
http://seclists.org/fulldisclosure/2012/Dec/9
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: MySQL 0Day Exploits
Ab jetzt wird es dringend Zeit für MySQL-Admins zu handeln:
http://seclists.org/fulldisclosure/2012/Dec/58
Die erste Empfehlung um diesen Angriff abzumildern ist, nie mehr als einen MySQL-User pro Session zu erstellen oder dessen Passwort zu ändern.
Sollte dies bereits einmal vorgekommen sein, so sollte diesen Usern nach und nach ein neues Passwort vergeben werden.
Der Angriff an sich wird dadurch nur verlangsamt, aber nicht verhindert!
Desweiteren ist noch immer offen, ob und wenn wann dieser Bug behoben wird.
http://seclists.org/fulldisclosure/2012/Dec/58
Die erste Empfehlung um diesen Angriff abzumildern ist, nie mehr als einen MySQL-User pro Session zu erstellen oder dessen Passwort zu ändern.
Sollte dies bereits einmal vorgekommen sein, so sollte diesen Usern nach und nach ein neues Passwort vergeben werden.
Der Angriff an sich wird dadurch nur verlangsamt, aber nicht verhindert!
Desweiteren ist noch immer offen, ob und wenn wann dieser Bug behoben wird.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: MySQL 0Day Exploits
Zu http://seclists.org/fulldisclosure/2012/Dec/58
Der Angreifer muss nur die Möglichkeit bekommen, auf einen beliebiges MySQL-Account zuzugreifen.
Da die meisten WebApps Zugangsdaten für einen MySQL-Account in ihrer Konfiguration hinterlegt haben, genügt also der Zugriff auf diese Daten und zusätzlich die Möglichkeit eigene Befehle an MySQL zu übergeben. Letzteres kann zum Beispiel durch Einschleusen/Hochladen eines Scripts in irgendeiner WebApp (diese muss nichtmal Datenbankgesteuert sein) geschehen.
Es kann auch ein Shell-User per mysql-Client den Bug ausnutzen, oder per Crontab (bei vielen Admin-Panels für Kunden aktiv) und dort hinterlegtem Script.
Der angegriffene MySQL-Account benötigt für http://seclists.org/fulldisclosure/2012/Dec/58 das Recht change_user.
Das "ein Benutzer pro Session" bezieht sich darauf, dass MySQL für neu generierte Passworte innerhalb der selben Session immer den gleichen SALT verwendet, wodurch das knacken von weiteren Accounts erheblich vereinfacht wird.
Daher meine Empfehlung für jede Passwortänderung/erstellung eine neue Session zu starten. Es verhindert zwar nicht den erfolgreichen Angriff, verlangsamt ihn aber für den Angreifer spürbar.
Die anderen Bugs sind zwar auch gefährlich, aber obiger ist der für Angreifer interessanteste und am Einfachsten durchzuführende Angriff und es sind hierfür bereits die ersten primitiven Exploits im Umlauf.
Wie immer gilt: Die pösen Buben sind kreativ und die von mir genannten Einfallstore sind nicht alle.
Der Angreifer muss nur die Möglichkeit bekommen, auf einen beliebiges MySQL-Account zuzugreifen.
Da die meisten WebApps Zugangsdaten für einen MySQL-Account in ihrer Konfiguration hinterlegt haben, genügt also der Zugriff auf diese Daten und zusätzlich die Möglichkeit eigene Befehle an MySQL zu übergeben. Letzteres kann zum Beispiel durch Einschleusen/Hochladen eines Scripts in irgendeiner WebApp (diese muss nichtmal Datenbankgesteuert sein) geschehen.
Es kann auch ein Shell-User per mysql-Client den Bug ausnutzen, oder per Crontab (bei vielen Admin-Panels für Kunden aktiv) und dort hinterlegtem Script.
Der angegriffene MySQL-Account benötigt für http://seclists.org/fulldisclosure/2012/Dec/58 das Recht change_user.
Das "ein Benutzer pro Session" bezieht sich darauf, dass MySQL für neu generierte Passworte innerhalb der selben Session immer den gleichen SALT verwendet, wodurch das knacken von weiteren Accounts erheblich vereinfacht wird.
Daher meine Empfehlung für jede Passwortänderung/erstellung eine neue Session zu starten. Es verhindert zwar nicht den erfolgreichen Angriff, verlangsamt ihn aber für den Angreifer spürbar.
Die anderen Bugs sind zwar auch gefährlich, aber obiger ist der für Angreifer interessanteste und am Einfachsten durchzuführende Angriff und es sind hierfür bereits die ersten primitiven Exploits im Umlauf.
Wie immer gilt: Die pösen Buben sind kreativ und die von mir genannten Einfallstore sind nicht alle.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: MySQL 0Day Exploits
Das geziehlte ausnutzen einer SQL Inject Lücke ist hier ebenfalls ausreichend. Erst kürzlich bei einem Routinecheck über zig unsichere Webportale gestolpet die einfach nicht gefixt werden.
Und so lange diese "stabil" laufen sehen offensichtlich viele keinen Handlungsbedarf.
Und so lange diese "stabil" laufen sehen offensichtlich viele keinen Handlungsbedarf.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.