Datenbank: Lange bekannte MySQL-Lücke führt zu Angriffen

Das MySQL-Protokoll erlaubt es Servern, Daten des Clients auszulesen. Offenbar nutzte die kriminelle Gruppe Magecart dies zuletzt, um mit dem PHP-Datenbankfrontend Adminer Systeme anzugreifen. Auch PhpMyAdmin ist verwundbar.

Artikel veröffentlicht am , Hanno Böck
Eine uralte MySQL-Sicherheitslücke wurde nie geschlossen - jetzt nutzen Kriminelle sie aus, um Kreditkartendaten zu stehlen.
Eine uralte MySQL-Sicherheitslücke wurde nie geschlossen - jetzt nutzen Kriminelle sie aus, um Kreditkartendaten zu stehlen. (Bild: Petr Kratochvil / Wikimedia Commons/CC0 1.0)

Eine uralte Sicherheitslücke in MySQL sorgt für Ärger. Der niederländische IT-Sicherheitsspezialist Willem de Groot berichtete vor kurzem, dass eine Gruppe von Malwareautoren, die als Magecart bekannt sei, ungeschützte Instanzen der Software Adminer und diese MySQL-Lücke genutzt habe, um Server anzugreifen. Die Magecart-Gruppe hat sich darauf spezialisiert, Kreditkartendaten zu stehlen. Der Name ist eine Anspielung auf die verbreitete Shop-Software Magento.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w) am European Campus
    THD - Technische Hochschule Deggendorf, Pfarrkirchen
  2. IT-Generalist (m/w/d)
    SaluVet GmbH, Bad Waldsee
Detailsuche

MySQL hat eine Funktion, bei der Daten vom System des Clients in eine Datenbank mit dem Befehl LOAD DATA LOCAL importiert werden können. Das Problem dabei: Diese Funktion kann nicht nur der Client auslösen, sondern auch der Server. Das bedeutet, dass ein bösartiger MySQL-Server beliebige Daten eines Clients auslesen kann. Der MySQL-Fork MariaDB ist von dem Problem ebenfalls betroffen.

Kreditkarten-Malware über offene Adminer-Instanzen verbreitet

Die Software Adminer ist ein in PHP geschriebenes Datenbankfrontend. Es wird als eine große PHP-Datei ausgeliefert. Die Angreifer suchten nach offen erreichbaren Instanzen von Adminer, vermutlich probierten sie einfach aus, ob sie die entsprechende Datei auf Webservern finden konnten. Auf der Login-Seite des Tools kann man den Server angeben, mit dem Adminer sich verbinden soll.

Somit kann ein Angreifer dort einen eigenen, präparierten MySQL-Server angeben, der anschließend Daten des Systems ausliest. Befindet sich dort eine Webseite, die selbst PHP und MySQL nutzt, kann man deren Konfigurationsdatei auslesen und sich anschließend in deren Datenbank einloggen.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
Weitere IT-Trainings

Adminer hat in der Version 4.6.3 die Unterstützung für LOAD DATA LOCAL abgeschaltet, die wurde bereits im Juni 2018 veröffentlicht. Direkt betroffen sind also nur offen erreichbare Adminer-Instanzen, die seitdem nicht mehr aktualisiert wurden.

PhpMyAdmin ebenfalls verwundbar

Doch das Problem betrifft nicht nur Adminer. Golem.de fand heraus, dass auch das viel populärere Datenbank-Frontend PhpMyAdmin von dem Problem betroffen ist. Allerdings erlaubt PhpMyAdmin in den Standardeinstellungen keine Verbindungen zu anderen MySQL-Servern, daher sind die meisten Instanzen nicht direkt betroffen. PhpMyAdmin hat das Problem in der Verison 4.8.5 behoben.

Bei PhpMyAdmin kam hinzu, dass die Entwickler das Problem eigentlich schon auf dem Schirm hatten und versuchten, die entsprechende Option zu deaktivieren. Doch ein Bug in PHP führte dazu, dass diese Abschaltung von LOAD DATA LOCAL nicht funktionierte.

Anzunehmen ist, dass noch mehr Applikationen ähnliche Probleme haben. Angreifbar sind potenziell alle Anwendungen, bei denen es in irgendeiner Weise möglich ist, eine Verbindung zu einem vom Angreifer kontrollierten MySQL-Server aufzubauen. Ebenfalls für Angriffe genutzt werden können offene Installer von Webanwendungen.

Ein Pseudo-MySQL-Server, der den Angriff durchführt, ist nicht schwer aufzusetzen. Eine freie Python-Implementierung findet man auf Github, das Tool Bettercap hat ebenfalls einen entsprechenden Angriff implementiert.

Problem schon lange bekannt

Bleibt die Frage, warum ein so altes Problem heute noch Ärger macht. Letztendlich handelt es sich um eine Schwachstelle im MySQL-Protokoll. Schon lange sind die Sicherheitsprobleme etwa in der MySQL-Dokumentation erläutert. Beim Kompilieren von MySQL kann man die entsprechende Funktion generell abschalten, standardmäßig ist sie aber aktiviert.

Generell wäre es kein Problem, die entsprechende Funktionalität in sicherer Weise bereitzustellen. So könnte man weiterhin das Auslesen von Dateien des Clients erlauben, aber nur dann, wenn der Client selbst dies initiiert hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


TheUnichi 29. Jan 2019

Also fragst du mich quasi, wieso man sein System weniger potenziellen Gefahren aussetzen...

phade 28. Jan 2019

Oder den PHPMyAdmin gleich noch so installieren, dass er seine config überschreiben oder...

Anonymer Nutzer 28. Jan 2019

Also ein SQL-Web-Admin mit htaccess davor ist also eine größere Angriffsfläche als eine...

zilti 28. Jan 2019

Das darf es auch, aber dann ist es halt scheisse.

KOTRET 28. Jan 2019

Posts alá "mit wäre das nicht passiert" hatten noch nie einen Nutzwert. Jede DB-Engine...



Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /