Ο Πολωνός ερευνητής ασφαλείας Dawid Golunski ανακάλυψε δύο Zero Day, (CVE-2016-6662 και CVE-2016-6663), που λειτουργούν σε όλες τις τρέχουσες υποστηριζόμενες εκδόσεις MySQL. Οι ευπάθειες επιτρέπουν σε ένα εισβολέα να πάρει τον πλήρη έλεγχο κάθε βάσης δεδομένων.
Ο Golunski αναφέρει ότι ενημέρωσε την Oracle για τις δύο ευπάθειες, αλλά και όλους τους προγραμματιστές των forks της MySQL, MariaDB και PerconaDB.
Σήμερα ο ερευνητής αφού είδε ότι μόνο οι υπεύθυνοι για την ανάπτυξη του MariaDB και του PerconaDB καθόρισαν τα τρωτά σημεία ενώ η άμεσα ενδιαφερόμενη εταιρεία Oracle δεν έδωσε σημασία, δημοσίευσε το PoC της ευπάθειας.
Να αναφέρουμε ότι η Oracle είναι προσηλωμένη σε ένα αυστηρό χρονοδιάγραμμα για τις ενημερωμένες εκδόσεις ασφαλείας που κυκλοφορούν κάθε τρεις μήνες. Η τελευταία κρίσιμη ενημέρωση που διέθεσε η Oracle (Critical Patch Update ή CPU) κυκλοφόρησε στις 19 Ιουλίου.
Ο Golunski ανέφερε τις ευπάθειες στην Oracle στις 29 Ιουλίου και σύμφωνα με τον ερευνητή, η ομάδα ασφαλείας της Oracle αναγνώρισε τις ευπάθειες. Όμως το επόμενο CPU Oracle έχει προγραμματιστεί για τις 18 Οκτωβρίου 2016.
«Τα τρωτά σημεία έχουν επιδιορθωθεί από τους προγραμματιστές των PerconaDB και MariaDB μέχρι το τέλος της 30ης Αυγούστου,” αναφέρει ο Golunski.
“Κατά τη διάρκεια της ενημέρωσης κώδικα οι προγραμματιστές ανέφεραν σε δημόσια αρχεία καταγραφής και τα πάγια ζητήματα ασφάλειας.”
«Όμως έχουν περάσει πάνω από 40 μέρες από την αναφορά των θεμάτων και αποφάσισα να αποκαλύψω (με περιορισμένο PoC) τις ευπάθειες για να ενημερώσω τους χρήστες για τους κινδύνους πριν έρθει η επόμενη ενημέρωση CPU στο τέλος Οκτωβρίου” αναφέρει ο ερευνητής.
Οι ευπάθειες τώρα:
Η CVE-2016-6662 επιτρέπει σε έναν εισβολέα, από μια απομακρυσμένη ή μια τοπική θέση, να κάνει inject προσαρμοσμένες ρυθμίσεις στο αρχείο ρυθμίσεων my.conf κάθε βάσης MySQL.
Το ζήτημα επηρεάζει μόνο τους διακομιστές MySQL που τρέχουν το προεπιλεγμένο config, και ενεργοποιείται μετά την πρώτη επανεκκίνηση της βάσης δεδομένων για να διαβαστούν οι νέες ρυθμίσεις από το my.conf. Οι εξυπηρετητές βάσεων δεδομένων κάνουν συχνά επανεκκινήσεις κατά τη διάρκεια ενημερώσεων συστήματος, και ενημερώσεις στα πακέτα.
Η CVE-2016-6662 τώρα επιτρέπει στους επιτιθέμενους να αλλάξουν το αρχείο my.conf, να φορτώσουν κώδικα τρίτων και να τον τρέχουν με δικαιώματα root.
Ο Golunski αναφέρει και την ευπάθεια CVE-2016-6663, η οποία είναι μια παραλλαγή της CVE-2016-6662. Η συγκεκριμένη ευπάθεια επιτρέπει απομακρυσμένη εκτέλεση κώδικα σαν root.
Ο ερευνητής έχει προτείνει ορισμένες προσωρινές λύσεις για την προστασία των servers μέχρι να δεήσει Oracle να διορθώσει τις ευπάθειες στο επόμενο CPU της.
“Μια προσωρινή λύση είναι να διασφαλίσετε ότι δεν υπάρχουν αρχεία ρυθμίσεων της MySQL που ανήκουν (δικαιώματα) στον MySQL χρήστη, και να δημιουργήσετε εικονικά αρχεία my.cnf με δικαιώματα root που δεν χρησιμοποιούνται.”
Ο Golunski αναφέρει ότι η παραπάνω είναι μόνο μια προσωρινή λύση και ότι θα πρέπει να εφαρμοστούν τα patches μόλις κυκλοφορήσουν.
