В MySQL нашлась архитектурная «дыра» для удобной кражи криптовалюты

Софт Безопасность
мобильная версия
, Текст: Роман Георгиев

Вредоносные версии СУБД MySQL позволяют получать доступ к любым данным на машинах подключившихся клиентов. По-видимому, этой ошибкой уже вовсю пользуются хакеры.


Вредный модификатор

Архитектурная ошибка в СУБД MySQL поставила под угрозу ее многочисленных пользователей. Выявленный баг позволяет операторам серверов, на которых запущена MySQL, получать доступ к любым данным в системе подключенного к серверу клиента. Точнее, любым данным, для которых предусмотрен доступ на чтение. Об этом сообщает ресурс bleepingcomputer.com.

В результате потенциальный злоумышленник может воспользоваться этим для того, чтобы извлекать конфиденциальную информацию из неправильно настроенного веб-сервера, который позволяет соединения с неблагонадежными серверами или приложениями для управления базами данных. По некоторым сведениям, атаки, использующие эту уязвимость, уже вовсю происходят.

Проблема скрывается в операторе LOAD DATA при использовании его с модификатором LOCAL; даже в документации MySQL указывается, что это может быть источником проблем с безопасностью.

Документально заверено

Разработчики поясняют, что клиенты получают запросы на передачу файлов от сервера MySQL в соответствии с той информацией, которую клиент прописывает в операторе LOAD DATA. Вредоносный сервер, однако, может ответить оператором LOAD DATA LOCAL и тем самым потребовать доступ к любому файлу, для которого у клиента прописаны права на чтение.

haker600.jpg
Уязвимость в MySQL позволяет красть пароли, ключи и реквизиты криптокошельков

«Модифицированный сервер в реальности может ответить запросом о передаче файла на любой оператор, не только LOAD DATA LOCAL, так что более фундаментальной проблемой является возможность для клиентов устанавливать соединения с неблагонадежными (недоверенными) серверами», — указывается в документации к MySQL.

То же самое относится к веб-серверам, выступающим в роли клиентов при подключении к серверу с MySQL. В этом случае злоумышленник может использовать уязвимость для кражи пароля из файла /etc/passwd.

Файлы могут быть получены злоумышленником лишь в том случае, если сервер знает их полный адресный путь. Однако его можно выяснить, запросив файл /proc/self/environ, описывающий переменные окружения активных процессов, тем самым раскрывающий адрес домашней директории и подробности о внутреннем строении структуры папок.

Хакеры из Magecart уже давно в курсе

Эксперт по безопасности Виллем де Грот (Willem de Groot) отметил, что уязвимость отнюдь не теоретическая, и уже давно существуют вредоносные программы (точнее, вредоносные версии MySQL Server, например, github.com/Gifts/Rogue-MySql-Server/blob/master/rogue_mysql_server.py), которые позволяют производить целый ряд опасных действий, в том числе, красть пароли, SSH-ключи, реквизиты криптокошельков и т. д. По словам Грота, некоторые группировки, относящиеся к Magecart уже вовсю используют модифицированную версию MySQL для осуществления своих вредоносных операций.

Как раз на прошлой неделе произошла серия взломов крупных правительственных сайтов и площадок электронной коммерции. Злоумышленники использовали PHP-инструмент для управления базами данных Adminer. Изначально де Грот решил, что источником проблем является ошибка в самом Adminer, однако впоследствии он пришел к выводу, что им являются особенности MySQL — именно описанная уязвимость и обусловила успешность атак Magecart.

«MySQL — чрезвычайно популярная СУБД, и уязвимости в ней ставят под угрозу колоссальное количество коммерческих и некоммерческих структур, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Учитывая, что описываемая уязвимость уже активно эксплуатируется, администраторам СУБД необходимо срочно принять меры по ее нейтрализации, хотя бы частичной. Для начала следует заблокировать возможность использования Adminer».