• IT-Karriere:
  • Services:

Datenbank: Lange bekannte MySQL-Lücke führt zu Angriffen

Das MySQL-Protokoll erlaubt es Servern, Daten des Clients auszulesen. Offenbar nutzte die kriminelle Gruppe Magecart dies zuletzt, um mit dem PHP-Datenbankfrontend Adminer Systeme anzugreifen. Auch PhpMyAdmin ist verwundbar.

Artikel veröffentlicht am , Hanno Böck
Eine uralte MySQL-Sicherheitslücke wurde nie geschlossen - jetzt nutzen Kriminelle sie aus, um Kreditkartendaten zu stehlen.
Eine uralte MySQL-Sicherheitslücke wurde nie geschlossen - jetzt nutzen Kriminelle sie aus, um Kreditkartendaten zu stehlen. (Bild: Petr Kratochvil / Wikimedia Commons/CC0 1.0)

Eine uralte Sicherheitslücke in MySQL sorgt für Ärger. Der niederländische IT-Sicherheitsspezialist Willem de Groot berichtete vor kurzem, dass eine Gruppe von Malwareautoren, die als Magecart bekannt sei, ungeschützte Instanzen der Software Adminer und diese MySQL-Lücke genutzt habe, um Server anzugreifen. Die Magecart-Gruppe hat sich darauf spezialisiert, Kreditkartendaten zu stehlen. Der Name ist eine Anspielung auf die verbreitete Shop-Software Magento.

Stellenmarkt
  1. IVU Traffic Technologies AG, Aachen
  2. EPLAN Software & Service GmbH u. Co. KG, Langenfeld (Rheinland)

MySQL hat eine Funktion, bei der Daten vom System des Clients in eine Datenbank mit dem Befehl LOAD DATA LOCAL importiert werden können. Das Problem dabei: Diese Funktion kann nicht nur der Client auslösen, sondern auch der Server. Das bedeutet, dass ein bösartiger MySQL-Server beliebige Daten eines Clients auslesen kann. Der MySQL-Fork MariaDB ist von dem Problem ebenfalls betroffen.

Kreditkarten-Malware über offene Adminer-Instanzen verbreitet

Die Software Adminer ist ein in PHP geschriebenes Datenbankfrontend. Es wird als eine große PHP-Datei ausgeliefert. Die Angreifer suchten nach offen erreichbaren Instanzen von Adminer, vermutlich probierten sie einfach aus, ob sie die entsprechende Datei auf Webservern finden konnten. Auf der Login-Seite des Tools kann man den Server angeben, mit dem Adminer sich verbinden soll.

Somit kann ein Angreifer dort einen eigenen, präparierten MySQL-Server angeben, der anschließend Daten des Systems ausliest. Befindet sich dort eine Webseite, die selbst PHP und MySQL nutzt, kann man deren Konfigurationsdatei auslesen und sich anschließend in deren Datenbank einloggen.

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Adminer hat in der Version 4.6.3 die Unterstützung für LOAD DATA LOCAL abgeschaltet, die wurde bereits im Juni 2018 veröffentlicht. Direkt betroffen sind also nur offen erreichbare Adminer-Instanzen, die seitdem nicht mehr aktualisiert wurden.

PhpMyAdmin ebenfalls verwundbar

Doch das Problem betrifft nicht nur Adminer. Golem.de fand heraus, dass auch das viel populärere Datenbank-Frontend PhpMyAdmin von dem Problem betroffen ist. Allerdings erlaubt PhpMyAdmin in den Standardeinstellungen keine Verbindungen zu anderen MySQL-Servern, daher sind die meisten Instanzen nicht direkt betroffen. PhpMyAdmin hat das Problem in der Verison 4.8.5 behoben.

Bei PhpMyAdmin kam hinzu, dass die Entwickler das Problem eigentlich schon auf dem Schirm hatten und versuchten, die entsprechende Option zu deaktivieren. Doch ein Bug in PHP führte dazu, dass diese Abschaltung von LOAD DATA LOCAL nicht funktionierte.

Anzunehmen ist, dass noch mehr Applikationen ähnliche Probleme haben. Angreifbar sind potenziell alle Anwendungen, bei denen es in irgendeiner Weise möglich ist, eine Verbindung zu einem vom Angreifer kontrollierten MySQL-Server aufzubauen. Ebenfalls für Angriffe genutzt werden können offene Installer von Webanwendungen.

Ein Pseudo-MySQL-Server, der den Angriff durchführt, ist nicht schwer aufzusetzen. Eine freie Python-Implementierung findet man auf Github, das Tool Bettercap hat ebenfalls einen entsprechenden Angriff implementiert.

Problem schon lange bekannt

Bleibt die Frage, warum ein so altes Problem heute noch Ärger macht. Letztendlich handelt es sich um eine Schwachstelle im MySQL-Protokoll. Schon lange sind die Sicherheitsprobleme etwa in der MySQL-Dokumentation erläutert. Beim Kompilieren von MySQL kann man die entsprechende Funktion generell abschalten, standardmäßig ist sie aber aktiviert.

Generell wäre es kein Problem, die entsprechende Funktionalität in sicherer Weise bereitzustellen. So könnte man weiterhin das Auslesen von Dateien des Clients erlauben, aber nur dann, wenn der Client selbst dies initiiert hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 11,99€
  2. 28,99€
  3. 6,99€
  4. Gratis

TheUnichi 29. Jan 2019

Also fragst du mich quasi, wieso man sein System weniger potenziellen Gefahren aussetzen...

phade 28. Jan 2019

Oder den PHPMyAdmin gleich noch so installieren, dass er seine config überschreiben oder...

Anonymer Nutzer 28. Jan 2019

Also ein SQL-Web-Admin mit htaccess davor ist also eine größere Angriffsfläche als eine...

zilti 28. Jan 2019

Das darf es auch, aber dann ist es halt scheisse.

KOTRET 28. Jan 2019

Posts alá "mit wäre das nicht passiert" hatten noch nie einen Nutzwert. Jede DB-Engine...


Folgen Sie uns
       


It Takes Two - Fazit

Nur für zwei: Das Action-Adventure It Takes Two schickt ein geschrumpftes Paar in eine herausfordernde und herzerwärmende Romantic Comedy.

It Takes Two - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /