Punto informatico Network

20080829215405

Sun.com e MySQL.com violati tramite SQL Injection

29/03/2011
- A cura di
Zane.
Sicurezza - I due siti sono stati bucati da cracker che hanno poi pubblicato sul web i dati rubati. Nessuna vulnerabilità nei software distribuiti: si è trattato di una svista della web application.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

sql (1) .

Tramite un messaggio inviato alla celebre mailinglist Full Disclosure, un cracker firmatosi Jackh4xor ha segnalato di aver "bucato" il sito MySQL.com, punto di riferimento ufficiale per tutte le attività legate al celebre database open source.

L'aggressore ha fatto leva su un difetto della web application per portare un attacco di tipo SQL Injection: a causa dell'insufficiente validazione dei parametri passati dal client alla pagina MySQL.com/customers/view/index.html, Jackh4xor ha potuto sottoporre query a propria discrezione al database alle spalle del servizio, recuperando così tutte le informazioni contenute.

Fra queste, oltre alla struttura delle varie tabelle, figurano credenziali d'accesso amministrative e indirizzi e-mail. Il "bottino" è stato poi reso disponibile pubblicamente tramite la risorsa per programmatori pastebin.com.

Interessante notare che, sebbene le password fossero state correttamente archiviate in formato crittografato, numerosi account utilizzavano parole d'ordine composte da pochi caratteri, facilmente craccabili tramite un attacco "a forza bruta" (bruteforce).

Un secondo assalto, del tutto analogo, è stato rivolto verso Sun.com. Come noto, si tratta del dominio di Sun Microsystems, ovvero l'azienda che, prima dell'acquisizione da parte di Oracle, deteneva la prorietà di MySQL.

In questo secondo caso sono però stati carpiti soltanto indirizzi e-mail e username, ma non le relative password.

Non è chiaro, al momento, se vi sia una correlazione fra i due casi. Le prove parrebbero però suggerire che si sia trattato di due assalti perpetrati dagli stessi soggetti.

È importante notare che i cracker hanno sfruttato una debolezza nella web application e non nel codice di MySQL. Questo significa che non non è necessario alcun aggiornamento per le centinaia di migliaia di server indipendenti che si appoggino al programma come backend per l'erogazione di risorse aziendali e siti Internet.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.29 sec.
    •  | Utenti conn.: 84
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.14