Una empresa de seguridad reveló hoy que mysql.com, repositorio central del software de base de datos MySQL, fue hackeado y modificado para servir a los visitantes código malicioso, con el fin de inyectar un troyano. Un acceso root a dicho servidor fue vendido hace una semana por 3000$ en un foro ruso, así que si lo habéis visitado estos días desde un Windows, probablemente estéis infectados. Lo más irónico del caso es que MySQL pertenece a Oracle Corp., dueña también de Java, tecnología utilizada para inyectar el malware.
![MySQL.com hackeado [ENG]](https://cdn.mnmstatic.net/cache/15/21/media_thumb_2x-link-1384909.jpeg?1417862727)
Comentarios
Media:
Video demostración/análisis del exploit:
URL del post de la investigación original ( No meneada por contener el propio código malicioso y poder hacer saltar falsos positivos de antivirus )
http://blog.armorize.com/2011/09/mysqlcom-hacked-infecting-visitors-with.html
Captura de la "oferta" en el foro
Oracle no parará hasta acabar con MySQL
El fallo de seguridad es bastante grave, ya que se aprovecha de los permisos especiales de ejecución que tiene la maquina virtual de java para el dominio mysql.com.
Lo que ocurre es que cuando entras en un web que contiene un applet de java, a continuación aparece un mensajito en tu pantalla que pregunta si deseas ejecutar dicho applet. En el caso del dominio mysql.com como pertenece a Oracle (Dueña de Java), la maquina virtual ya viene con los permisos por defecto para dicha ejecución. Con lo cual nada mas entrar en la web, Java comenzará a ejecutar un applet que funcionará como un payload para luego hacer cualquier guarreria. Se salvarán en cierta medida los sistemas operativos Windows Vista, 7, Linux y Mac Os, por requerir de permisos especiales para acceder a los archivos del sistema, pero el entorno de usuario si quedará infectado.
Y lo peor de todo es que incluso si visitas una web distinta a la de mysql.com, basta que dicha web tenga enlazado un applet instalado en mysql.com para que tambien ejecute un applet de java de forma automática.
La solución a esto es:
- Desinstalar la maquina virtual de java
- Instalar una extensión para tu navegador como noscript
- Desactivar la ejecución de java de la configuración de tu navegador
También hay que cruzar los dedos para pensar que varias versiones de Java o MySQL instaladas no estén ya troyanizadas.
#17 ¿De dónde sacas eso? Los applets no funcionan así, así lo hace Javascript, por ejemplo con noscript puedes permitir ejecutar scripts alojados en un sitio en concreto.
Pero los applets tienen que llevar el código firmado con un certificado digital válido, aunque tú máquina virtual acepte un certificado el atacante que quisiera colarte un applet además debería tener la clave privada de ese certificado para poder firmarlo, y yo no he visto que en ningún sitio digan que alguna clave de Oracle ha sido comprometida.
Lo que sí hace el exploit en cuestión es instalar un Javascript que después se aprovecha de diversas vulnerabilidades para intentar colarse en el sistema, entre ellas de Windows, IE, Adobe Reader y Java, y entre las de Java un error en el cargador de clases para ejecutar applets sin firmar, no tiene nada que ver con que el applet esté firmado con un certificado de mysql.com y lo des como válido. Además esta vulnerabilidad en concreto está corregida desde febrero, y las otras conocidas que lleva el kit también están corregidas desde hace tiempo, así que quien tenga actualizado Java no debería tener ningún problema.
#23
1) Con la extension noscript tambien puedes bloquear la ejecución de applets (Miralo en http://noscript.net/features)
2) El Javascript no es Java no funciona igual, javascript es un lenguaje interpretado en tiempo de ejecución y no es un lenguage precompilable o semicompilable (como lo es el Java), necesitas de un interprete javascript como que viene instalado en casi todos lo navegadores. Ademas de que javascript se ejecuta sin ningún permiso especial dentro de un navegador. Así mismo javascript no puede ejecutar aplicaciones en disco o hacer escrituras sin permiso del hypervisor del inteprete de javascript. Javascript no se parece a Java por mucho que el nombre sea parecido.
3) Yo no he dicho que los applets este firmados o no, lo que he dicho es que por alguna razón los applets que esta alojados en ciertos dominios, que curiosamente pertenecen a Oracle no requieren estar firmados para ser ejecutados. De hecho, en eso reside la importancia de que haya sido el domino mysql.com el que haya sido comprometido, y no otro dominio cualquiera que podría aprovechar la vulnerabilidad que tu comentas.
4) Aqui te doy la razón la vulnerabilidad ya ha sido corregida y efectivamente las nuevas versiones de la maquina virtual de java requieren de que applet este firmado incluso si se descarga de algún dominio de Oracle.
#25
1) Sé perfectamente como funciona NoScript, lo uso desde hace años, no sé a que viene esa contestación, nunca he dicho que no bloquee applets, he dicho que en el caso de Javascript la única forma de bloquearlo es por dominio, en el caso de los Applets aunque no lo tengas bloqueado por dominio con NoScript tienes la seguridad de la máquina virtual.
2) Los applets tampoco requieren ningún permiso especial para ejecutarse dentro del navegador, exactamente igual que Javascript, lo único que si quieres salir fuera de lo permitido y acceder a otros recursos del sistema entonces necesitas firmarlos y autorizarlos. Nunca he dicho que Javascript pueda ejecutar cosas que requieran privilegios, pero el vector de entrada del exploit es Javascript que modifica el DOM de la página y ejecuta applets, activex o los plugins del reader a partir de esa modificación para explotar vulnerabilidades en estos.
3) Lo mismo que en el punto anterior, un applet no requiere absolutamente ningún permiso especial para ejecutarse a menos que quiera acceder a funcionalidades del sistema como la lectura y escritura del disco, pero si no necesita nada de eso no tiene porque pedir permiso.
Te lo vuelvo a preguntar, ¿de dónde sacas lo de que los applets de los sitios de Oracle no requieren ir firmados si quieren acceder a recursos locales?, lo digo en serio, nunca he oido nada parecido y no veo que gana Oracle con eso, no les cuesta nada firmar sus applets, no le veo ninguna ventaja a no hacerlo la verdad, sería una decisión muy estúpida. Además que no creo que usen tantos applets, de hecho dudo que usen alguno, como para necesitar eso.
Pero vamos aunque así fuera daría exactamente igual, el exploit que han usado se aprovecha de una vulnerabilidad que permite el acceso a disco de applets sin firmar mediante un desbordamiento de buffer, que el sitio sea mysql.com es totalmente irrelevante. La importancia de que sea mysql.com es que es un sitio muy visitado, seguramente el que más de los que se han visto afectado por ese exploit, y de que se da la casualidad de que Java es de Oracle con lo cual es irónico que sufran en uno de sus sitios un exploit que usa una vulnerabilidad de uno de sus productos, pero más allá de eso no supone una ventaja o desventaja técnica para el funcionamiento del exploit, sino sería inútil en cualquier otro sitio cosa que no es porque ya se usaba antes.
¿Oracle/Mysql no ha lanzado ningún comunicado al respecto?
Sólo $3000? pensé que sería mas carito
¿Alguien sabe cómo estar seguro de que no estás infectado? Tengo un ordenador desde el que hace unos días (creo que más de los del ataque, pero no lo recuerdo) es posible que haya visitado la web (estuvieron buscando cosas sobre mysql, y no sé si se entró en esta web o no).
¿Alguna herramienta/antivirus/loquefuere para pasarle? Tiene antivirus, pero no me fío de que en ese momento no se le haya colado.
Tengo la posibilidad de descargas, grabar... desde otros ordenadores, sin problema, así que agradezco ayudas.
Hay que ir pasandose a mariaDB, que va a ser lo que pegue fuerte...
Me cago en dios, ayer mismo instale mysql en mi pc con el windows de los huevos
Yo esta semana en concreto me han tocado labores de "sysadmin rookie", así que he librado, pero la visito a menudo, sobre todo la documentación... con la cantidad de visitas de MySQL.com, sobre todo entre Windows-users (entre los que me cuento), me parece un descalabro tremendo... y auguro tremendos problemas en los días venideros X_x
Alguien sabe como descubrir si uno esta infectado o si con suerte ha bajado una versión limpia?
Los repositorios de linux han sido hackeados, MySQL ha sido hackeado... ¿qué ocurre que últimamente vemos muchos ataques de este tipo?
Una pregunta, cuando una página tiene un plugin de java para por ejemplo subir archivos, java muestra una ventana pidiendo que des permiso a ese plugin, la ventana tiene una casilla de "recordar decisión", bien, ¿alguien sabe como borrar esa decisión, es decir, denegarle otra vez permiso?
P.D: y si comprometen java, como java corre en cualquier SO (por ejemplo linux) ¿no podrían infectar también a linux?
Antes de ver como lo han hecho, confío en que no haya sido por inyección SQL. Sería muy irónico.
#2 No sería raro mira esta noticia del 28 de marzo de 2011
Este fin de semana unos hackers rumanos pusieron en evidencia la falta de seguridad de algunos sitios web de Mysql.com y Sun, al exponer nombres de usuario y hashes de contraseñas obtenidos a través de un ataque a ciegas usando nada menos que una inyección SQL o Blind SQL injection.
http://www.ddsmedia.net/blog/2011/03/mysql-com-hackeado-por-inyeccion-sql/
Pues me ha venido genial, desde que mis newletters incluyen enlaces a sitios porno rusos he triplicado visitas.
Estos de OhRaquel son un caso serio...
Me parece muy grave.
A ver si un dia de estos vuelvo a Instalar Ubuntu, a ver si me seduce... al décimo intento.
esto afectará a las páginas?
#5 no directamente, salvo que se te haya infectado un equipo con acceso shell o ftp a tu web, entonces podrías tener problemas, asegúrate que tus máquinas de dev estén limpias
¿#1, estás seguro de que el segundo enlace que pones ahí es seguro? He entrado y me lo ha marcado el antivirus como troyano. Qué gracia, encima con ese titular.
Lo único que diré sobre el tema es: foro ruso.
#13 si, como explica antes del link, el antivirus salta porque la web contiene el código malicioso en modo texto, dificilmente puede saber el antivirus si se trata de un Javascript o de un textarea, por eso no meneé esa URL, no quería convertirme yo en noticia "Meneante desaforado menea malware"
De todas formas han sustituído todo el código de ejemplo por imágenes, ya no debería saltar alerta alguna.
Oh, vale #16. Pensaba ya que mi ordenador iba a explotar.
Cada día más claro que hay que pasarse a MariaDB y dejar de lado a MySQL.
Como que una empresa de seguridad?
Pero no hay toda una legion de hackers revisando el codigo para asegurarse de que es seguro?
#7 hasta donde yo sé, los colaboradores de MySQL lo son del software de base de datos en sí, no del sitio web, propiedad de Oracle, que es lo que se ha visto comprometido/infectado, no (de nuevo, hasta donde yo sé) el software de base de datos.
#8 y #9, en ningun momento he dicho que la pagina web sea responsabilidad de los desarrolladores de MySQL
Que os lanzais al cuello sin mirar, melones.
#8 #9 Favor de aplicarlo rápidamente... http://2.bp.blogspot.com/_He6Gu8cONvU/TBuCepGKaKI/AAAAAAAALEA/D8ljtctklgQ/s1600/258Troll_spray2.jpg
Antes de que@whatsup regrese...
#7 Que coño tendra que ver el MYSQL con la pagina web?
Es como si me dices que porque hackeasen la pagina web de Audis sus coches no son seguros....
#7 Premio al ignorante/troll del día.
#7 MySQL lo desarrolla
MySQL AB SunOracle a su bola, nada que ver con legiones de hackers.El comentario tendría más de sentido si fuese Drizzle... y ni así.