北京安華金和科技有限公司(簡稱安華金和)長期致力于幫助客戶應(yīng)對數(shù)據(jù)庫安全領(lǐng)域的威脅。為了提高數(shù)據(jù)庫用戶的安全意識,快速反饋?zhàn)钚聰?shù)據(jù)庫漏洞被利用方向,安華金和數(shù)據(jù)庫攻防實(shí)驗(yàn)室(以下簡稱:DBSec Labs)最新發(fā)布《2015年上半年數(shù)據(jù)庫漏洞威脅報(bào)告》。數(shù)據(jù)選取截至2015年上半年,該報(bào)告用于快速跟蹤及反饋數(shù)據(jù)庫漏洞的發(fā)展態(tài)勢。
報(bào)告詳情:
一、2015年上半年數(shù)據(jù)泄密事件回顧
Verizon發(fā)布的《2015年度數(shù)據(jù)泄露調(diào)查報(bào)告》,回顧了2014年全球79790起安全事件和2122起已經(jīng)確認(rèn)的數(shù)據(jù)泄漏事件。根據(jù)每年verizon統(tǒng)計(jì)報(bào)告,全球數(shù)據(jù)庫泄露事件呈現(xiàn)緩步提高趨勢。可以預(yù)見,2015年可能出現(xiàn)更多的數(shù)據(jù)泄露事件。2015年上半年在世界范圍內(nèi)就發(fā)生多起造成重大影響和數(shù)據(jù)庫直接相關(guān)的數(shù)據(jù)泄露事件。
· 全球第二大比特幣交易網(wǎng)站Bitstamp遭到黑客入侵
· 新型銀行木馬Emotet盜取德國網(wǎng)民網(wǎng)銀證書
· 黑客入侵瑞士銀行,利用用戶信息敲詐銀行
· 美電信巨頭Verizon曝有重大安全漏洞,泄露客戶所有信息
· 搶票APP“火車票達(dá)人”曝漏洞,外泄300萬密碼
· 全國30余省社保系統(tǒng)曝高危漏洞,數(shù)千萬社保用戶信息或被泄露
· 永和大王官網(wǎng)SQL注入 數(shù)據(jù)庫信息全部泄露
· 機(jī)鋒論壇存高危漏洞導(dǎo)致2700萬用戶數(shù)據(jù)泄露
· 漢庭酒店的撞庫測試,證明8000多用戶敏感信息被泄露
· 南方航空Oracle數(shù)據(jù)庫配置信息泄露
· 廣西衛(wèi)生廳某系統(tǒng)或泄露全省千萬居民敏感信息
· 中國電信某省公司平臺漏洞泄露七百萬用戶信息(號碼、套餐、機(jī)型、通話、流量)
……
此類事件,不勝枚舉。黑客通過利用數(shù)據(jù)庫漏洞入侵?jǐn)?shù)據(jù)庫是數(shù)據(jù)泄漏事件發(fā)生的主要原因之一。本文通過梳理今年新確認(rèn)的數(shù)據(jù)庫漏洞,力求給客戶指明今年數(shù)據(jù)庫漏洞防護(hù)工作的重點(diǎn)和難點(diǎn)。
本文的漏洞取自NVD(美國國家漏洞庫)。下圖包含2011年到2015年間7個主流數(shù)據(jù)庫(oracle 、mssql、MySQL、db2、informix、sybase、postgresql)漏洞的總和數(shù)量。每年被確認(rèn)的數(shù)據(jù)庫漏洞數(shù)量呈震蕩趨勢。數(shù)據(jù)庫發(fā)布具有新功能的年份,漏洞數(shù)量會有一定提高。而不發(fā)布或少發(fā)布新功能的年份,漏洞數(shù)量明顯下降。下面是5年對比圖,除了2015年只有半年數(shù)據(jù)庫漏洞數(shù)量信息匯總外,其余都是整年數(shù)據(jù)庫漏洞數(shù)量。2015年截止到6月份被確認(rèn)的數(shù)據(jù)庫漏洞一共44個,預(yù)計(jì)全年達(dá)到87個。
▲2011-2015數(shù)據(jù)庫漏洞數(shù)量
▲數(shù)據(jù)庫漏洞產(chǎn)生原因
上圖統(tǒng)計(jì)了2011-2015年產(chǎn)生漏洞的比例,漏洞主要來自于三方面:
新功能帶來的新漏洞
新老版本兼容帶來的新漏洞
修改漏洞不徹底或修改的代碼產(chǎn)生新的漏洞
2015年上半年被確認(rèn)44個漏洞其中Oracle 7個,MySQL 29個Postgresql 5個Sybase 3個。未提到的3個數(shù)據(jù)庫,2015年暫無被確認(rèn)的漏洞。其中Oracle、MySQL、Sybase分別有1個高危漏洞。
漏洞按照對數(shù)據(jù)庫的機(jī)密性、完整性和可用性的影響程度進(jìn)行分類。分成3大類:高危漏洞、中危漏洞和低危漏洞。其中高危漏洞必須及時(shí)處理。低危和中危漏洞雖然沒有高危漏洞嚴(yán)重,但在某些特定情況下也會達(dá)到高危漏洞的危害程度,所以請廣大數(shù)據(jù)庫安全人員切莫輕視低危漏洞。在2015年被確認(rèn)的44個漏洞中高危漏洞有3個,中危漏洞有29個低危漏洞有12個。
▲數(shù)據(jù)庫漏洞危險(xiǎn)等級
二、Web數(shù)據(jù)庫依舊是黑客攻擊的主要目標(biāo)
根據(jù)VERIZON的《2015年全球數(shù)據(jù)泄露調(diào)查報(bào)告》指出,通過對Web攻擊,入侵Web數(shù)據(jù)庫是數(shù)據(jù)泄露的重要途徑之一。排在Web攻擊前4種數(shù)據(jù)泄露途徑中3種是人為因素導(dǎo)致,只能通過提高安全意識和安全管理解決(分別是人為失誤、內(nèi)部人員/權(quán)限濫用、物理失竊/丟失)。數(shù)據(jù)庫服務(wù)器不會安裝任何不可信的第三方軟件或被“釣魚”,因此犯罪軟件入侵?jǐn)?shù)據(jù)庫服務(wù)器幾率不大。Web攻擊是數(shù)據(jù)庫服務(wù)器的第一大威脅,數(shù)據(jù)庫服務(wù)器中Web數(shù)據(jù)庫服務(wù)器最易受到黑客攻擊。
▲VERIZON2015報(bào)告顯示數(shù)據(jù)泄漏途徑
▲數(shù)據(jù)庫泄密的幾種途徑
Web系統(tǒng)主要采用B/S技術(shù)架構(gòu),用戶通過瀏覽器訪問Web服務(wù)器,Web服務(wù)器再訪問Web數(shù)據(jù)庫服務(wù)器,形成了從用戶到數(shù)據(jù)庫的合法訪問通道,從而將數(shù)據(jù)庫間接暴露在互聯(lián)網(wǎng)上。甚至在某些企業(yè),數(shù)據(jù)庫就直接安裝在對外提供Web服務(wù)的服務(wù)器上,通過攻擊Web服務(wù)器即可實(shí)現(xiàn)數(shù)據(jù)庫的敏感數(shù)據(jù)訪問。大量Web數(shù)據(jù)庫采用的是MySQL數(shù)據(jù)庫, 今年MySQL 已被確認(rèn)有29個漏洞,預(yù)計(jì)年底可達(dá)60個漏洞。并且集中出現(xiàn)在MySQL最新穩(wěn)定版5.5-5.6。所以請廣大MySQL DBA提高對MySQL安全的關(guān)注。
▲MySQL數(shù)據(jù)庫不同版本漏洞數(shù)量
很多漏洞在MySQL5.5和MySQL5.6上同時(shí)被發(fā)現(xiàn)。上圖展示了今年已確認(rèn)的MySQL 的29個漏洞出現(xiàn)的版本。其中MySQL 5.6受到28個漏洞影響,MySQL5.5受到14個漏洞影響,其中大部分重合。
三、政府網(wǎng)站、交易平臺成為黑客攻擊首選
2015年上半年針對Web數(shù)據(jù)庫攻擊的目標(biāo)主要集中在政府網(wǎng)站和各種交易平臺。其中對政府網(wǎng)站的攻擊主要呈現(xiàn)為有組織、有目的、潛伏期長等特性。美國Fireeye曾發(fā)布《APT攻擊報(bào)告》中指出,大部分針對政府的攻擊是有組織的黑客團(tuán)體發(fā)動,有政治等更深層次的目的。相比對交易平臺的攻擊,則顯得更加短平快。基本屬于入侵Web數(shù)據(jù)庫后直接獲取客戶敏感信息。把獲取的敏感信息轉(zhuǎn)移進(jìn)黑色產(chǎn)業(yè)。雖然會在平臺上留下木馬后門程序,便于黑客下次入侵,但平臺安全人員基本在三個月內(nèi)會處理掉黑客留下的后門和被利用的漏洞。
四、2015年上半年需要關(guān)注的漏洞
高危漏洞分散于數(shù)據(jù)庫Oracle、MySQL和Sybase中。分別是CVE-2015-0457、CVE-2015-0411、CVE-2015-1310。這3個是2015年上半年的高危漏洞。
CVE-2015-0457是oracle的java vm存在一個緩沖區(qū)溢出漏洞。該漏洞不需要獲得目標(biāo)數(shù)據(jù)庫的網(wǎng)絡(luò)訪問權(quán)限或者數(shù)據(jù)庫所在操作系統(tǒng)的訪問權(quán)限,就可以導(dǎo)致目標(biāo)數(shù)據(jù)庫被完全控制,里面存儲的所有敏感信息被盜取、數(shù)據(jù)庫被徹底破壞、數(shù)據(jù)庫服務(wù)被停止等。該漏洞在今年4月份的補(bǔ)丁中被修正,影響到11.1、11.2和12.1這3個穩(wěn)定版本下的多數(shù)數(shù)據(jù)庫。
CVE-2015-0411是MySQL的通訊協(xié)議加密存安全漏洞。該漏洞不需要獲得目標(biāo)數(shù)據(jù)庫的網(wǎng)絡(luò)訪問權(quán)限或者數(shù)據(jù)庫所在操作系統(tǒng)的訪問權(quán)限,就可以通過破解MySQL通訊協(xié)議登入MySQL數(shù)據(jù)庫。如果破解的是root賬號則可能導(dǎo)致目標(biāo)數(shù)據(jù)庫被完全控制,里面存儲的所有敏感信息被盜取、數(shù)據(jù)庫被徹底破壞、數(shù)據(jù)庫服務(wù)被停止等。該漏洞在今年1月份的補(bǔ)丁中被修正。影響到5.5、5.6這2個穩(wěn)定版本下的多數(shù)數(shù)據(jù)庫。
CVE-2015-1310是SAP Sybase ASE數(shù)據(jù)庫平臺的sql注入漏洞。攻擊者可以使用SQL注入的幫助下制作特別的SQL查詢。他們可以從數(shù)據(jù)庫讀取和修改敏感信息,在數(shù)據(jù)庫中執(zhí)行管理操作,破壞數(shù)據(jù)或使其不可用。在某些情況下,攻擊者可以訪問系統(tǒng)數(shù)據(jù)或執(zhí)行操作系統(tǒng)命令。該漏洞在今年1月份的補(bǔ)丁中被修正。
五、2015年上半年數(shù)據(jù)庫漏洞分布
▲Oracle數(shù)據(jù)庫漏洞分布
Oracle 7個漏洞集中于java vm、XDB和Core RDBMS中。這3個組件中Core RDBMS 是由oracle數(shù)據(jù)庫的最核心組件。在windows下以一個Oracle.exe進(jìn)程出現(xiàn),而Linux下則是分成多個進(jìn)程,這些進(jìn)程負(fù)責(zé)著不同的功能,保證Oracle數(shù)據(jù)庫的正常運(yùn)行。Java VM是java 虛擬機(jī)負(fù)責(zé)運(yùn)行Oracle中的Java代碼。例如Oracle圖形化安裝程序。Java VM的漏洞往往來自于XDB是負(fù)責(zé)處理XML的組件有2個對外端口是HTTP和FTP。這2個端口經(jīng)常會給數(shù)據(jù)庫帶來緩沖區(qū)溢出漏洞(一種無需身份驗(yàn)證的高危漏洞)。
MySQL和Oracle 不同,由于擴(kuò)展了很多新功能導(dǎo)致出現(xiàn)大量漏洞。29個漏洞分布也較為分散。
▲MySQL數(shù)據(jù)庫漏洞分布
MySQL 的29個漏洞散落在14個MySQL 組件和一個未知組件上。MySQL是一款易拆合的輕量級數(shù)據(jù)庫。14個組件中有很多是非必備組件,例如innoDB存在的5個漏洞,如果您的業(yè)務(wù)不需要innoDB,則建議您禁止innoDB的使用。
postgresql和sybase 這2款數(shù)據(jù)庫相對使用范圍較小,一般不用于Web數(shù)據(jù)庫服務(wù)器。今年它們已被確認(rèn)的漏洞主要集中在某幾個核心組件上。由于很少作為Web數(shù)據(jù)庫服務(wù)器使用,所以不需要特別關(guān)注。
今年的數(shù)據(jù)庫安全重點(diǎn)應(yīng)該集中于MySQL和大量使用MySQL 作為Web數(shù)據(jù)庫的產(chǎn)業(yè)。
六、數(shù)據(jù)庫漏洞利用趨勢
數(shù)據(jù)庫安全發(fā)展到現(xiàn)在,繞過身份驗(yàn)證依舊是對數(shù)據(jù)庫安全最大的威脅。今年上半年3個高危漏洞中的2個是針對身份驗(yàn)證繞過的。他們分別采用的是緩沖區(qū)溢出和通訊協(xié)議破解的方式。緩沖區(qū)溢出和通訊協(xié)議破解的漏洞雖然越來越少,但一旦出現(xiàn)將是數(shù)據(jù)庫的噩夢。SQL注入依舊是漏洞中的主流,基本80%以上的漏洞都屬于SQL注入范疇。在SQL注入中,今年主要還是利用數(shù)據(jù)庫系統(tǒng)SQL語言漏洞。大部分還是依賴對低權(quán)限用戶進(jìn)行升級權(quán)限來獲取更多數(shù)據(jù)庫敏感信息。作為數(shù)據(jù)庫管理員請嚴(yán)格分配用戶權(quán)限,防止分配給用戶過高權(quán)限。對非必要服務(wù)請進(jìn)行禁用或卸載,防止其中存在的漏洞被黑客利用,對您的數(shù)據(jù)庫造成入侵。
結(jié)束語:
回顧近年來安華金和數(shù)據(jù)庫攻防實(shí)驗(yàn)室對數(shù)據(jù)庫漏洞的研究,我們發(fā)現(xiàn)任何一款數(shù)據(jù)庫漏洞出現(xiàn)和防治都會遵循某些特定的規(guī)律。雖然每年漏洞出現(xiàn)的數(shù)量并非穩(wěn)定下降,但數(shù)據(jù)庫自身出現(xiàn)漏洞的幾率越來越低。漏洞數(shù)量不能穩(wěn)定下降主要和2點(diǎn)緊密相關(guān):
一是很多數(shù)據(jù)庫為了方便用戶擴(kuò)展了大量接口和功能,新功能在最初的版本總是受到自身漏洞和兼容性漏洞的雙重困擾。二是黑客利用漏洞的能力越來越強(qiáng),以前很多被發(fā)現(xiàn)的漏洞其實(shí)是無法被利用的,黑客逐漸把其中一部分以前無法利用的漏洞變得可以利用。同時(shí)黑客也會特別關(guān)注與某些行業(yè),數(shù)據(jù)庫漏洞攻擊往往也集中在這些行業(yè)領(lǐng)域。
最后,也是最重要的,大部分?jǐn)?shù)據(jù)庫漏洞攻擊者依然是以獲利為第一目的的。數(shù)據(jù)庫跟隨業(yè)務(wù)逐漸從后臺走向前臺,給黑客更多對數(shù)據(jù)庫進(jìn)行入侵的機(jī)會。相信本文的這些觀點(diǎn)對大家預(yù)測未來的數(shù)據(jù)庫攻防形式,以及進(jìn)一步完善企業(yè)及組織的解決方案是有價(jià)值的。今年請?zhí)貏e注意MySQL數(shù)據(jù)庫的安全防護(hù)工作。
京公網(wǎng)安備 11010502049343號