Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng nghiêm trọng cho phép hacker xâm nhập cơ sở dữ liệu MySQL
Hai lỗ hổng zero-day nghiêm trọng vừa được phát hiện trên hệ quản trị cơ sở dữ liệu phổ biến thứ 2 thế giới MySQL. Khai thác thành công lỗ hổng, tin tặc có thể chiếm quyền kiểm soát cơ sở dữ liệu.
Chuyên gia nghiên cứu Ba Lan Dawid Golunski vừa phát hiện 2 lỗ hổng zero-day CVE-2016-6662 và CVE-2016-6663, ảnh hưởng tới tất cả các phiên bản MySQL cũng như các nhánh của MySQL là MariaDB và PerconaDB.
Sau khi đã thông báo về 2 lỗ hổng cho Oracle và MariaDB, PerconaDB, Golunski công bố chi tiết và mã khai thác PoC của CVE-2016-6662. Cả MariaDB và PerconaDB đã vá các lỗ hổng. Tuy nhiên, Oracle vẫn chưa khắc phục vấn đề.
Lỗ hổng CVE-2016-6662 có thể bị tin tặc khai thác để chèn cấu hình độc hại vào các tập tin cấu hình MySQL hoặc tạo ra các tập tin cấu hình độc hại mới.
Phương thức khai thác
Lỗ hổng trên có thể bị khai thác thông qua SQL Injection hoặc hacker chiếm quyền truy cập vào cơ sở dữ liệu MySQL (thông qua một kết nối mạng hoặc các giao diện web như phpMyAdmin).
"Khai thác thành công CVE-2016-6662, hacker có thể thực thi mã tùy ý với quyền root sau đó xâm nhập hoàn toàn máy chủ chạy phiên bản MySQL bị ảnh hưởng" chuyên gia Golunski cho biết.
Chuyên gia cũng cảnh báo rằng lỗ hổng có thể bị khai thác ngay cả khi mô-đun an ninh SELinux hoặc Apparmor Linux được kích hoạt với các chính sách mặc định cho dịch vụ MySQL đối với các phiên bản chính của Linux.
Lỗ hổng này tồn tại trong script mysqld_safe vốn được các gói cài mặc định của MySQL sử dụng như một wrapper để khởi động tiến trình dịch vụ MySQL.
Script mysqld_safe được thực thi với quyền root, và tiến trình mysqld cơ bản hạ quyền xuống thành MySQL user.
"Nếu hacker chèn một đường dẫn vào thư viện mà chúng tạo ra trong cấu hình thì sẽ có thể tải trước một thư viện tùy ý, từ đó thực thi mã tùy ý với quyền root khi dịch vụ MySQL được khởi động lại (thực hiện thủ công thông qua việc cập nhật hệ thống, cập nhật gói, khởi động lại hệ thống…)".
Các chuyên gia sẽ sớm công bố thông tin chi tiết mã khai thác của CVE-2016-6663 - lỗ hổng cho phép tin tặc thực hiện các cuộc khai thác thông thường.
Chưa có bản vá cho MySQL
Golunski đã thông báo các lỗ hổng zero-day tới Oracle vào 29/7 và các nhà cung cấp bị ảnh hưởng khác vào ngày 29/7.
Oracle đã biết đến thông tin và dự kiến khắc phục vấn đề vào 18/10 tới. MariaDB và PerconaDB đã có bản vá cho phần mềm trong tháng 8.
Do đã hơn 40 ngày trôi qua và đã có 2 nhà cung cấp phát hành bản vá nên Golunski cho biết ông đã quyết định công khai thông tin các lỗ hổng zero-day.
Giải pháp tạm thời
Do Oracle chưa có bản vá cho lỗ hổng, người dùng có thể thực hiện các biện pháp tạm thời để bảo vệ hệ thống của mình.
"Người dùng nên đảm bảo không có file cấu hình MySQL nào được sở hữu bởi mysql user", các chuyên gia cho biết.
Tuy nhiên, cần lưu ý biện pháp trên chỉ là cách giải quyết tạm thời, người dùng nên cập nhật bản mới phần mềm ngay khi nhà cung cấp đưa ra bản vá.
Chuyên gia nghiên cứu Ba Lan Dawid Golunski vừa phát hiện 2 lỗ hổng zero-day CVE-2016-6662 và CVE-2016-6663, ảnh hưởng tới tất cả các phiên bản MySQL cũng như các nhánh của MySQL là MariaDB và PerconaDB.
Sau khi đã thông báo về 2 lỗ hổng cho Oracle và MariaDB, PerconaDB, Golunski công bố chi tiết và mã khai thác PoC của CVE-2016-6662. Cả MariaDB và PerconaDB đã vá các lỗ hổng. Tuy nhiên, Oracle vẫn chưa khắc phục vấn đề.
Lỗ hổng CVE-2016-6662 có thể bị tin tặc khai thác để chèn cấu hình độc hại vào các tập tin cấu hình MySQL hoặc tạo ra các tập tin cấu hình độc hại mới.
Phương thức khai thác
Lỗ hổng trên có thể bị khai thác thông qua SQL Injection hoặc hacker chiếm quyền truy cập vào cơ sở dữ liệu MySQL (thông qua một kết nối mạng hoặc các giao diện web như phpMyAdmin).
"Khai thác thành công CVE-2016-6662, hacker có thể thực thi mã tùy ý với quyền root sau đó xâm nhập hoàn toàn máy chủ chạy phiên bản MySQL bị ảnh hưởng" chuyên gia Golunski cho biết.
Chuyên gia cũng cảnh báo rằng lỗ hổng có thể bị khai thác ngay cả khi mô-đun an ninh SELinux hoặc Apparmor Linux được kích hoạt với các chính sách mặc định cho dịch vụ MySQL đối với các phiên bản chính của Linux.
Lỗ hổng này tồn tại trong script mysqld_safe vốn được các gói cài mặc định của MySQL sử dụng như một wrapper để khởi động tiến trình dịch vụ MySQL.
Script mysqld_safe được thực thi với quyền root, và tiến trình mysqld cơ bản hạ quyền xuống thành MySQL user.
"Nếu hacker chèn một đường dẫn vào thư viện mà chúng tạo ra trong cấu hình thì sẽ có thể tải trước một thư viện tùy ý, từ đó thực thi mã tùy ý với quyền root khi dịch vụ MySQL được khởi động lại (thực hiện thủ công thông qua việc cập nhật hệ thống, cập nhật gói, khởi động lại hệ thống…)".
Các chuyên gia sẽ sớm công bố thông tin chi tiết mã khai thác của CVE-2016-6663 - lỗ hổng cho phép tin tặc thực hiện các cuộc khai thác thông thường.
Chưa có bản vá cho MySQL
Golunski đã thông báo các lỗ hổng zero-day tới Oracle vào 29/7 và các nhà cung cấp bị ảnh hưởng khác vào ngày 29/7.
Oracle đã biết đến thông tin và dự kiến khắc phục vấn đề vào 18/10 tới. MariaDB và PerconaDB đã có bản vá cho phần mềm trong tháng 8.
Do đã hơn 40 ngày trôi qua và đã có 2 nhà cung cấp phát hành bản vá nên Golunski cho biết ông đã quyết định công khai thông tin các lỗ hổng zero-day.
Giải pháp tạm thời
Do Oracle chưa có bản vá cho lỗ hổng, người dùng có thể thực hiện các biện pháp tạm thời để bảo vệ hệ thống của mình.
"Người dùng nên đảm bảo không có file cấu hình MySQL nào được sở hữu bởi mysql user", các chuyên gia cho biết.
Tuy nhiên, cần lưu ý biện pháp trên chỉ là cách giải quyết tạm thời, người dùng nên cập nhật bản mới phần mềm ngay khi nhà cung cấp đưa ra bản vá.
Nguồn: The Hacker News