Todo el software utilizado para brindar servicios a través de Internet está expuesto ante piratas informáticos que, de encontrar un fallo, lo utilizarán para sacar provecho de él. Por suerte, siempre hay investigadores de seguridad dispuestos a buscar fallos en las principales aplicaciones más utilizadas y reportarlos a los responsables para que los solucionen antes de hacerlos públicos. Sin embargo, algunas compañías hacen caso omiso de las vulnerabilidades, como Oracle, y terminan exponiendo millones de bases de datos a través de todo Internet, como ha ocurrido con MySQL.
Recientemente, dos vulnerabilidades críticas del tipo zero-day, registradas con los nombres CVE-2016-6662 y CVE-2016-6663 (una variación de la 6662), en el segundo administrador de bases de datos más utilizado en todo el mundo, MySQL, propiedad de Oracle. Estas vulnerabilidades pueden permitir a un atacante que, utilizando técnicas de MySQL Injection, autenticarse de forma remota en los sistemas y acceder a las bases de datos completas a través de una conexión de red o de interfaces como phpMyAdmin.
Los investigadores de seguridad que han descubierto la vulnerabilidad aseguran que, aunque estén habilitadas las medidas de seguridad del kernel de Linux como SELinux o AppArmor, estos fallos siguen pudiéndose explotar sin dificultad.
La vulnerabilidad en cuestión reside en el script mysqld_safe, un script utilizado en las configuraciones por defecto de la mayoría de las configuraciones MySQL que se ejecuta como root y que reduce los permisos de mysqld hasta el nivel de usuario. A través de este proceso, los piratas informáticos pueden llegar incluso a inyectar configuraciones maliciosas en las bases de datos para cargar librerías modificadas con permisos de root e incluso ejecutar código arbitrario con estos permisos.
Oracle conoce la vulnerabilidad de MySQL desde julio, aunque aún no la ha solucionado
Los investigadores que descubrieron la vulnerabilidad informaron a la compañía el pasado mes de julio con el fin de que esta solucionara el fallo lo antes posible y se evitaran posibles ataques informáticos contra sus bases de datos, sin embargo, Oracle hizo caso omiso a la vulnerabilidad y se negó a parchearla. Ahora, el fallo se ha hecho público y millones de bases de datos están expuestas ante esta vulnerabilidad y, lo que es peor aún, Oracle no tiene intenciones de liberar los correspondientes parches de seguridad hasta el próximo 18 de octubre.
Aunque las bases de datos alternativas a Oracle MySQL, como MariaDB y PerconaDB, también se han visto afectadas por estas vulnerabilidades, los responsables de estas ya parchearon sus herramientas a finales de agosto por lo que, ahora que es pública la vulnerabilidad, no se ven afectadas por ella.
Mientras los usuarios de MySQL esperan más de un mes hasta la llegada de los parches que solucionan la vulnerabilidad, una solución temporal para mitigar los daños es asegurarse de que ningún archivo de configuración de MySQL está en propiedad del usuario mysql del sistema y crear ficheros «dummy» my.cnf propiedad del usuario root.
¿Qué opinas de esta vulnerabilidad en las bases de datos MySQL y en la respuesta de Oracle ante ella?
Quizá te interese:
- Cómo instalar Wamp, un servidor HTTP, PHP y MySQL todo en uno