Ein MySQL-Client kann von einem MySQL-Server dazu verleitet werden, äußerst sensible Informationen über sich preiszugeben. Eine Schwachstelle im MySQL-Protokoll kann von einem bösartigen Server ausgenutzt werden, um beliebige Dateien auf dem System auszulesen, auf die der MySQL-Client Zugriff hat.

Um auf diese Weise einen Webserver anzugreifen, muss der Angreifer einen gepatchten MySQL-Server betreiben und einen MySQL-Client auf dem Server des Opfers dazu kriegen, sich mit dem manipulierten Server zu verbinden. Die im Datenbank-Protokoll vorhandende Schwachstelle ist seit Jahren dokumentiert, jetzt hat ein Sicherheitsforscher allerdings tatsächliche Angriffe auf Webserver festgestellt.

Willem de Groot, ein unabhängiger Sicherheitsforscher, der sich auf sogenannte Magecart-Angriffe auf die E-Commerce-Plattform Magento spezialisiert hat, hat die Angriffe entdeckt. Kriminelle haben eine Schwachstelle im Admin-Werkzeug Adminer dazu missbraucht, einen verbundenen MySQL-Client dazu zu bewegen, ihren bösartigen Server zu kontaktieren. Dieser Server befiehlt dem MySQL-Client dann, eine Konfigurationsdatei auszulesen, in der das Datenbank-Passwort für den Magento-Server gespeichert ist. Die Magento-Software kann so vom Angreifer übernommen werden und ihren Magecart-Schadcode einspielen.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE