Database MySQL.com attaccato da hacker tramite SQL Injection


Alcuni hacker hanno compromesso il database di MySQL.com, così come le versioni francese, tedesco, italiano, giapponese e altre localizzate del sito, sfruttando ironicamente una vulnerabilità di tipo SQL injection. Tramite un messaggio inviato alla celebre mailinglist Full Disclosure, un cracker firmatosi Jackh4xor ha segnalato di aver "bucato" il sito MySQL.com, punto di riferimento ufficiale per tutte le attività legate al celebre database open source. Il rapporto include informazioni sul parametro vulnerabile, un elenco delle tabelle dei diversi database e un elenco del database degli utenti con l'hashing delle password. 

Poco dopo, TinKode, un hacker rumeno ha pubblicato una più completa relazione sul suo blog, e reso disponibile pubblicamente tramite la risorsa per programmatori pastebin.com, sostenendo di essere stato lui e un amico a scoprire alcuni mesi fà la vulnerabilità e che non doveva essere resa pubblica. Anche il sito di Oracle sun.com è stato attaccato, ma i hacker non sono riusciti ad estrarre informazioni sensibili da questo. "In questa mattinata il nostro amico Jackh4x0r ha deciso di rendere pubblica una vulnerabilità in MySQL.com. Si tratta di un parametro vulnerabile a SQL Injection, ciò che noi (TinKode & Ne0h) avevamo trovato con pochi mesi fa [sic.]", scrive l'hacker.


Come prova della sua affermazione egli ha postato un link ad un thread precedentemente privato del Team Insecurity Romania (ISR), forum in cui la vulnerabilità è stata discussa dal 3 gennaio 2011. La divulgazione TinKode comprende anche ulteriori informazioni come il cracking delle password per gli account di alcuni database e blog, compreso quello di Robin Schumacher, direttore della gestione del prodotto MySQL. La password del blog di Mr. Schumacher è composta da solo quattro cifre, motivo per cui il cracking dell'hash della password è stato banale. E' stata divulgata anche la password di Kaj Arno, l'ex vice presidente della Comunità di MySQL nel Gruppo Database di Sun Microsystems

A permettere l’attacco non è stata però la semplicità delle password degli utenti, quanto bensì un problema relativo al sito web. Nessun bug in MySQL è stato sfruttato per eseguire l’SQL Injection, motivo per cui non è stato diramato alcun allarme di sicurezza per tutelare gli utenti. Il punto debole della catena è stato rilevato invece nell’implementazione del portale ufficiale del progetto. Vale la pena sottolineare che SQL injection è un vettore di attacco molto pericoloso. Il colosso informatico sta investigando sulle cause di tale problema, e cercherà di porre rimedio al più presto per evitare nuove fughe di dati sensibili.

2 commenti: