多個零時差漏洞概念證明攻擊碼威脅MySQL伺服器

在這今年的最後一個月,MySQL被一組零時差漏洞攻擊碼給淹沒了。這些都是由Kingcope所發表,他也公布了這些安全漏洞的概念證明(PoC)攻擊碼。

最新被發現的零時差漏洞會用多種方式來影響MySQL,像是應用程式崩潰/阻斷服務、升級權限、身份驗證繞過、Windows系統上的遠端管理者權限和堆積區(Heap)/堆疊區(Stack)溢位。這些漏洞已經被軟體廠商確認,並被分配了CVE編號:CVE-2012-5611、CVE-2012-5612、CVE-2012-5613、CVE-2012-5614、CVE-2012-5615。

兩個嚴重的安全問題,ExploitDB:2307323083在MySQL上允許遠端身份認證過的攻擊者透過發送特製請求來取得Windows系統權限。

以下是其他的嚴重問題:

  • (CVE-2012-5611):經由發送超長參數給GRANT FILE指令來發動,接著會導致堆疊緩衝區溢位。它讓遠端攻擊者可以執行任意程式碼,甚至導致資料庫崩潰。不過,要利用這個漏洞,必須要有有效的用戶名稱和密碼。
  • (CVE-2012-5612):一連串特製的指令可以導致堆積緩衝區溢出漏洞,像是USE、SHOW TABLES、DESCRIBE、CREATE TABLE、DROP TABLE、ALTER TABLE、DELETE FROM、UPDATE、SET PASSWORD等。如果漏洞攻擊成功,可以讓身份驗證過的低權限遠端攻擊者去更改一個目前使用者的密碼成一個未定義值。
  • (CVE-2012-5614):可以透過SELECT指令和一個包含大量獨特、嵌入元素XML的UpdateXML指令來造成服務崩潰。要成功利用此漏洞也需要身分認證過的有效使用者名稱和密碼。
  • (CVE-2012-5615):MySQL內的列舉(Enumeration)漏洞,可以讓遠端攻擊者根據所產生的錯誤訊息來獲取所有有效的用戶名稱。
  • (CVE-2012-5613):這不被視為軟體的安全漏洞,因為它是因為設定錯誤而造成。但它可以讓遠端認證過的使用者獲得管理者權限。一個有FILE權限的攻擊者可以建立跟MySQL管理者完全一樣權限的新使用者。

MySQL資料庫是有名的高效能、高可靠性和易於使用。它可以運行在Windows和許多非Windows平台上,像UNIX、Mac OS、Solaris、IBM AIX等。它一直是成長最快的應用程式,也被許多大公司所選用,像是Facebook、Google和Adobe等等。也因為它的普及,網路犯罪分子和其他攻擊者也肯定會盯上這平台。

為了幫助使用者解決這些問題,趨勢科技Deep Security已經發布了更新 – 12-032,包含一套新的DPI規則。建議使用者更新以下的DPI規則。

 

Exploit DB

CVE編號

DPI 規則名稱

23076 MySQL (Linux) Heap Based Overrun PoC Zeroday

CVE-2012-5612

1005264 – Oracle MySQL Server Command Length Restriction

23081 MySQL Remote Preauth User Enumeration Zeroday

CVE-2012-5615

1005045 – MySQL Database Server Possible Login Brute Force Attempt*

23078 MySQL Denial of Service Zeroday PoC

CVE-2012-5614

1005265 – Oracle MySQL Server Denial Of Service Vulnerability

23083 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day

1005263 – Windows MySQL Server Remote Code Execution

23075 MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday

CVE-2012-5611

1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability

23077 MySQL (Linux) Database Privilege Elevation Zero day Exploit

CVE-2012-5613

1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability

23073 MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot)

1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability*

* 這些漏洞已經被包含在現有DPI規則內了。

趨勢科技的DPI規則可以保護使用者免受這些已知漏洞的攻擊。截至本文撰寫時,我們還沒看到任何利用這些概念證明碼進行的攻擊。

 

@原文出處:Multiple Zero-Day POC Exploits Threaten Oracle MySQL Server作者:Pavithra Hanchagaiah(資深安全研究員)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網