Баг в MySQL был тайным оружием хакеров

Конструкционная недоработка в популярной СУБД MySQL может использоваться для слива конфиденциальной информации на хакерские серверы.

Первым об ошибке в механизме обмена файлами между клиентским хостом и сервером MySQL рассказал сайт Security Boulevard в прошлую пятницу, затем, более развёрнутый отчёт был опубликован в Bleeping Computer.

По данным эти источников, обнаруженный баг позволяет извлечь любую информацию с неправильно сконфигурированного веб-сервера, допускающего подключение к ненадёжным серверам, либо из приложений MySQL. Проблема возникает если оператор LOAD DATA использовать с модификатором LOCAL (в документации MySQL указывается, что такое сочетание представляет риск для безопасности).

Ряд источников утверждают, что именно эта дырка в безопасности MySQL была тайным оружием группы хакеров Magecart, благодаря которому атаки на Newegg, Infowars Store, Cathay Pacific Airways, British Airways, Ticketmaster Entertainment И Oxo International оказались столь успешными. В этих диверсиях взломщики с помощью внедряемого кода перехватывали платёжные транзакции, совершаемые между несколькими сайтами.

Большинство пользователей сложно побудить подключиться к хакерскому серверу MySQL, тем не менее серьёзность этой уязвимости не стоит преуменьшать. Поскольку MySQL применяется в массовых масштабах, в Сети можно найти немало веб-серверов с незащищенными интерфейсами управления этими базами данных.

«Администраторы веб-сайтов должны понимать, что такие страницы, даже если они не ссылаются на сторонний контент, могут быть обнаружены и взломаны злоумышленниками, — отмечает Крейг Янг (Craig Young), специалист по компьютерной безопасности из Tripwire. — Инструменты администрирования, такие как Adminer, не должны оставаться незащищенными ни при каких обстоятельствах».