数据库安全厂商安全金和最新发布《2015年上半年数据库漏洞威胁报告》,报告显示2015年截止到6月份被确认的数据库漏洞一共44个,预计全年达到87个。
以下为报告详情:
一、2015年上半年数据泄密事件回顾
Verizon发布的《2015年度数据泄露调查报告》,回顾了2014年全球79790起安全事件和2122起已经确认的数据泄漏事件。根据每年verizon统计报告,全球数据库泄露事件呈现缓步提高趋势。可以预见,2015年可能出现更多的数据泄露事件。2015年上半年在世界范围内就发生多起造成重大影响和数据库直接相关的数据泄露事件。
· 全球第二大比特币交易网站Bitstamp遭到黑客入侵
· 新型银行木马Emotet盗取德国网民网银证书
· 黑客入侵瑞士银行,利用用户信息敲诈银行
· 美电信巨头Verizon曝有重大安全漏洞,泄露客户所有信息
· 抢票APP“火车票达人”曝漏洞,外泄300万密码
· 全国30余省社保系统曝高危漏洞,数千万社保用户信息或被泄露
· 永和大王官网SQL注入 数据库信息全部泄露
· 机锋论坛存高危漏洞导致2700万用户数据泄露
· 汉庭酒店的撞库测试,证明8000多用户敏感信息被泄露
· 南方航空Oracle数据库配置信息泄露
· 广西卫生厅某系统或泄露全省千万居民敏感信息
· 中国电信某省公司平台漏洞泄露七百万用户信息(号码、套餐、机型、通话、流量)
……
此类事件,不胜枚举。黑客通过利用数据库漏洞入侵数据库是数据泄漏事件发生的主要原因之一。本文通过梳理今年新确认的数据库漏洞,力求给客户指明今年数据库漏洞防护工作的重点和难点。
本文的漏洞取自NVD(美国国家漏洞库)。下图包含2011年到2015年间7个主流数据库(oracle 、mssql、MySQL、db2、informix、sybase、postgresql)漏洞的总和数量。每年被确认的数据库漏洞数量呈震荡趋势。数据库发布具有新功能的年份,漏洞数量会有一定提高。而不发布或少发布新功能的年份,漏洞数量明显下降。下面是5年对比图,除了2015年只有半年数据库漏洞数量信息汇总外,其余都是整年数据库漏洞数量。2015年截止到6月份被确认的数据库漏洞一共44个,预计全年达到87个。
图1 2011-2015数据库漏洞数量
图2 数据库漏洞产生原因
上图统计了2011-2015年产生漏洞的比例,漏洞主要来自于三方面:
1. 新功能带来的新漏洞
2. 新老版本兼容带来的新漏洞
3. 修改漏洞不彻底或修改的代码产生新的漏洞
2015年上半年被确认44个漏洞其中Oracle 7个,MySQL 29个Postgresql 5个Sybase 3个。未提到的3个数据库,2015年暂无被确认的漏洞。其中Oracle、MySQL、Sybase分别有1个高危漏洞。
漏洞按照对数据库的机密性、完整性和可用性的影响程度进行分类。分成3大类:高危漏洞、中危漏洞和低危漏洞。其中高危漏洞必须及时处理。低危和中危漏洞虽然没有高危漏洞严重,但在某些特定情况下也会达到高危漏洞的危害程度,所以请广大数据库安全人员切莫轻视低危漏洞。在2015年被确认的44个漏洞中高危漏洞有3个,中危漏洞有29个低危漏洞有12个。
图3 数据库漏洞危险等级
二、Web数据库依旧是黑客攻击的主要目标
根据VERIZON的《2015年全球数据泄露调查报告》指出,通过对Web攻击,入侵Web数据库是数据泄露的重要途径之一。排在Web攻击前4种数据泄露途径中3种是人为因素导致,只能通过提高安全意识和安全管理解决(分别是人为失误、内部人员/权限滥用、物理失窃/丢失)。数据库服务器不会安装任何不可信的第三方软件或被“钓鱼”,因此犯罪软件入侵数据库服务器几率不大。Web攻击是数据库服务器的第一大威胁,数据库服务器中Web数据库服务器最易受到黑客攻击。
图4 VERIZON2015报告显示数据泄漏途径
图5 数据库泄密的几种途径
Web系统主要采用B/S技术架构,用户通过浏览器访问Web服务器,Web服务器再访问Web数据库服务器,形成了从用户到数据库的合法访问通道,从而将数据库间接暴露在互联网上。甚至在某些企业,数据库就直接安装在对外提供Web服务的服务器上,通过攻击Web服务器即可实现数据库的敏感数据访问。大量Web数据库采用的是MySQL数据库, 今年MySQL 已被确认有29个漏洞,预计年底可达60个漏洞。并且集中出现在MySQL最新稳定版5.5-5.6。所以请广大MySQL DBA提高对MySQL安全的关注。
图6 MySQL数据库不同版本漏洞数量
很多漏洞在MySQL5.5和MySQL5.6上同时被发现。上图展示了今年已确认的MySQL 的29个漏洞出现的版本。其中MySQL 5.6受到28个漏洞影响,MySQL5.5受到14个漏洞影响,其中大部分重合。
三、政府网站、交易平台成为黑客攻击首选
2015年上半年针对Web数据库攻击的目标主要集中在政府网站和各种交易平台。其中对政府网站的攻击主要呈现为有组织、有目的、潜伏期长等特性。美国Fireeye曾发布《APT攻击报告》中指出,大部分针对政府的攻击是有组织的黑客团体发动,有政治等更深层次的目的。相比对交易平台的攻击,则显得更加短平快。基本属于入侵Web数据库后直接获取客户敏感信息。把获取的敏感信息转移进黑色产业。虽然会在平台上留下木马后门程序,便于黑客下次入侵,但平台安全人员基本在三个月内会处理掉黑客留下的后门和被利用的漏洞。
四、2015年上半年需要关注的漏洞
高危漏洞分散于数据库Oracle、MySQL和Sybase中。分别是CVE-2015-0457、CVE-2015-0411、CVE-2015-1310。这3个是2015年上半年的高危漏洞。
CVE-2015-0457是oracle的java vm存在一个缓冲区溢出漏洞。该漏洞不需要获得目标数据库的网络访问权限或者数据库所在操作系统的访问权限,就可以导致目标数据库被完全控制,里面存储的所有敏感信息被盗取、数据库被彻底破坏、数据库服务被停止等。该漏洞在今年4月份的补丁中被修正,影响到11.1、11.2和12.1这3个稳定版本下的多数数据库。
CVE-2015-0411是MySQL的通讯协议加密存安全漏洞。该漏洞不需要获得目标数据库的网络访问权限或者数据库所在操作系统的访问权限,就可以通过破解MySQL通讯协议登入MySQL数据库。如果破解的是root账号则可能导致目标数据库被完全控制,里面存储的所有敏感信息被盗取、数据库被彻底破坏、数据库服务被停止等。该漏洞在今年1月份的补丁中被修正。影响到5.5、5.6这2个稳定版本下的多数数据库。
CVE-2015-1310是SAP Sybase ASE数据库平台的sql注入漏洞。攻击者可以使用SQL注入的帮助下制作特别的SQL查询。他们可以从数据库读取和修改敏感信息,在数据库中执行管理操作,破坏数据或使其不可用。在某些情况下,攻击者可以访问系统数据或执行操作系统命令。该漏洞在今年1月份的补丁中被修正。
五、2015年上半年数据库漏洞分布
图7 Oracle数据库漏洞分布
Oracle 7个漏洞集中于java vm、XDB和Core RDBMS中。这3个组件中Core RDBMS 是由oracle数据库的最核心组件。在windows下以一个Oracle.exe进程出现,而Linux下则是分成多个进程,这些进程负责着不同的功能,保证Oracle数据库的正常运行。Java VM是java 虚拟机负责运行Oracle中的Java代码。例如Oracle图形化安装程序。Java VM的漏洞往往来自于XDB是负责处理XML的组件有2个对外端口是HTTP和FTP。这2个端口经常会给数据库带来缓冲区溢出漏洞(一种无需身份验证的高危漏洞)。
MySQL和Oracle 不同,由于扩展了很多新功能导致出现大量漏洞。29个漏洞分布也较为分散。
图8 MySQL数据库漏洞分布
MySQL 的29个漏洞散落在14个MySQL 组件和一个未知组件上。MySQL是一款易拆合的轻量级数据库。14个组件中有很多是非必备组件,例如innoDB存在的5个漏洞,如果您的业务不需要innoDB,则建议您禁止innoDB的使用。
postgresql和sybase 这2款数据库相对使用范围较小,一般不用于Web数据库服务器。今年它们已被确认的漏洞主要集中在某几个核心组件上。由于很少作为Web数据库服务器使用,所以不需要特别关注。
今年的数据库安全重点应该集中于MySQL和大量使用MySQL 作为Web数据库的产业。
六、数据库漏洞利用趋势
数据库安全发展到现在,绕过身份验证依旧是对数据库安全最大的威胁。今年上半年3个高危漏洞中的2个是针对身份验证绕过的。他们分别采用的是缓冲区溢出和通讯协议破解的方式。缓冲区溢出和通讯协议破解的漏洞虽然越来越少,但一旦出现将是数据库的噩梦。SQL注入依旧是漏洞中的主流,基本80%以上的漏洞都属于SQL注入范畴。在SQL注入中,今年主要还是利用数据库系统SQL语言漏洞。大部分还是依赖对低权限用户进行升级权限来获取更多数据库敏感信息。作为数据库管理员请严格分配用户权限,防止分配给用户过高权限。对非必要服务请进行禁用或卸载,防止其中存在的漏洞被黑客利用,对您的数据库造成入侵。
结束语:
回顾近年来安华金和数据库攻防实验室对数据库漏洞的研究,我们发现任何一款数据库漏洞出现和防治都会遵循某些特定的规律。虽然每年漏洞出现的数量并非稳定下降,但数据库自身出现漏洞的几率越来越低。漏洞数量不能稳定下降主要和2点紧密相关:
一是很多数据库为了方便用户扩展了大量接口和功能,新功能在最初的版本总是受到自身漏洞和兼容性漏洞的双重困扰。二是黑客利用漏洞的能力越来越强,以前很多被发现的漏洞其实是无法被利用的,黑客逐渐把其中一部分以前无法利用的漏洞变得可以利用。同时黑客也会特别关注与某些行业,数据库漏洞攻击往往也集中在这些行业领域。
最后,也是最重要的,大部分数据库漏洞攻击者依然是以获利为第一目的的。数据库跟随业务逐渐从后台走向前台,给黑客更多对数据库进行入侵的机会。相信本文的这些观点对大家预测未来的数据库攻防形式,以及进一步完善企业及组织的解决方案是有价值的。今年请特别注意MySQL数据库的安全防护工作。
---
要闻/干货/原创/专业 关注“安全牛”