Kwetsbaarheid MySQL laat hackers gevoelige informatie stelen

Er blijkt een fout te staan in het populaire databasebeheersysteem MySQL. Die stelt malafide servers ertoe in staat om documenten te stelen van gebruikers van het systeem. Gevoelige informatie kan zomaar in de verkeerde handen vallen door een paar kleine fouten.

De kwetsbaarheid werd ontdekt door Security Boulevard en vervolgens verder uitgediept door Bleeping Computer. Het gaat om een ontwerpfout in de interactie van bestandsoverdracht tussen een client host en MySQL-server. Door de kwetsbaarheid kan een aanvaller een MySQL-server laten draaien en daarmee toegang krijgen tot alle data waar de verbonden server toegang toe heeft.

Gevoelige informatie stelen

De kwetsbaarheid zou gebruikt kunnen worden om gevoelige informatie te verkrijgen van verkeerd ingestelde webservers. Het gaat dan om servers die verbindingen toestaan met niet-vertrouwde servers of bepaalde database beheertoepassingen. Het problem lijkt verder te liggen in de LOAD DATA statement, die gebruikt wordt met de LOCAL-modifier. In de MySQL-documentatie staat dat al omschreven als een veiligheidsrisico.

Opvallend genoeg, zo meldt de site SiliconAngle vandaag, staat in een discussie op de forumsite Reddit, dat dezelfde MySQL-fout de reden is achter het succes van de aanvallen van hackersgroep Magecart. Die groep weet steeds code toe te voegen om geld buit te maken van meerdere websites die transacties verzorgen. Aanvallen vonden onder meer al plaats op de Infowars Store, Cathay Pacific Airways, British Airways en Ticketmaster Entertainment.

Volgens onderzoeker Craig Young van Tripwire, die met SiliconAngle sprak, lijkt de kwetsbaarheid op het eerste gezicht niet kritisch, maar moet deze wel degelijk aangepakt worden. Dat komt omdat gebruikers zich er lang niet altijd bewust van zijn dat er grote kwetsbaarheden zitten in de databasebeheerinterface. “Admins moeten zich er bewust van zijn dat bepaalde pagina’s, ook wanneer die niet gekoppeld zijn aan andere content, ontdekt en misbruikt kunnen worden door aanvallers”, aldus Young. “Admintools als Adminer zouden onder geen beding bloot mogen komen te liggen.”