mercoledì 30 marzo 2011

Rubate password dal database MySQL.com tramite SQL Injection


A dimostrazione che nessun sito web è mai veramente sicuro, alcuni hacker hanno compromesso il database di MySQL.com, così come le versioni francese, tedesco, italiano, giapponese e altre localizzate del sito, sfruttando ironicamente una vulnerabilità di tipo SQL injection. Tramite un messaggio inviato alla celebre mailinglist Full Disclosure, un cracker firmatosi Jackh4xor ha segnalato di aver "bucato" il sito MySQL.com, punto di riferimento ufficiale per tutte le attività legate al celebre database open source. 

Il rapporto include informazioni sul parametro vulnerabile, un elenco delle tabelle dei diversi database e un elenco del database degli utenti con l'hashing delle password. Poco dopo, TinKode, un hacker rumeno ha pubblicato una più completa relazione sul suo blog, e reso disponibile pubblicamente tramite la risorsa per programmatori pastebin.com, sostenendo di essere stato lui e un amico a scoprire alcuni mesi fà la vulnerabilità e che non doveva essere resa pubblica. 

Anche il sito di Oracle sun.com è stato attaccato, ma gli hacker non sono riusciti ad estrarre informazioni sensibili da questo. "In questa mattinata il nostro amico Jackh4x0r ha deciso di rendere pubblica una vulnerabilità in MySQL.com. Si tratta di un parametro vulnerabile a SQL Injection, ciò che noi (TinKode & Ne0h) avevamo trovato con pochi mesi fa [sic.]", scrive l'hacker. 

Come prova della sua affermazione egli ha postato un link ad un thread precedentemente privato del Team Insecurity Romania (ISR), forum in cui la vulnerabilità è stata discussa dal 3 gennaio 2011. La divulgazione TinKode comprende anche ulteriori informazioni come il cracking delle password per gli account di alcuni database e blog, compreso quello di Robin Schumacher, direttore della gestione del prodotto MySQL. La password del blog di Mr. Schumacher è composta da solo quattro cifre, motivo per cui il cracking dell'hash della password è stato banale.


E' stata divulgata anche la password di Kaj Arno, l'ex vice presidente della Comunità di MySQL nel Gruppo Database di Sun Microsystems. A permettere l’attacco non è stata però la semplicità delle password degli utenti, quanto bensì un problema relativo al sito web. Nessun bug in MySQL è stato sfruttato per eseguire l’SQL Injection, motivo per cui non è stato diramato alcun allarme di sicurezza per tutelare gli utenti. Il punto debole della catena è stato rilevato invece nell’implementazione del portale ufficiale del progetto. 

TinKode ha precedentemente esposto vulnerabilità analoghe a siti appartenenti alla Royal Navy britannica, la NASA e la US Army . È stato anche responsabile della divulgazione della vulnerabilità XSS nei commenti di YouTube che è stata sfruttata una anno fà dagli utenti di 4chan per indirizzare i fan di Justin Bieber. L'episodio dimostra quanto sia comune questa vulnerabilità. Se i creatori di MySQL, il motore di database più diffuso al mondo, non può assicurare il proprio sito web dagli attacchi SQL injection, quale ragionevole aspettativa di sicurezza si può avere da siti web che non sono gestiti da esperti? 

Vale la pena sottolineare che SQL injection è un vettore di attacco molto pericoloso. A differenza del cross-site scripting, che può essere usato per iniettare codice nelle pagine canaglia, la vulnerabilità SQLI può essere sfruttata per estrarre dati sensibili come informazioni su clienti da banche dati private. Il sito web di MySQL offre software per database, servizi e supporto per le aziende, compreso il server Enterprise, il monitoraggio della rete e servizi di consulenza e il sostegno alla produzione. 

La vasta gamma di prodotti comprendono: cluster di Mysql, database incorporato, driver per JDBC, ODBC e Net, Visual Database Tools (Query Browser, toolkit di migrazione) e, ultimo ma non ultimo il MaxDB, il database open source certificato per SAP R / 3. Il colosso informatico sta investigando sulle cause di tale problema, e cercherà di porre rimedio al più presto per evitare nuove fughe di dati sensibili.

1 commento: