「安华金和」2019数据库漏洞安全威胁报告
作者:安华金和 发布时间:2019-12-23

安华金和长期致力于帮助客户应对数据安全领域的威胁。为了提高数据库用户的安全意识,快速了解最新数据库漏洞利用方向,最新发布《2019年数据库漏洞安全威胁报告》。该报告用于快速跟踪及反馈数据库安全的发展态势。

一.  数据库内、外部威胁对数据库安全的影响

内部安全威胁主要是指数据库自身的安全性,具体表现为各类数据库漏洞;外部安全威胁主要体现在人为因素造成的数据库配置不当以及外部黑客数据库攻击。

1、内部威胁主要来自数据库自身的组件

数据库内部安全威胁主要表现在自身的三大组件上:数据库引擎、SQL编程组件(例如PL/SQL)和网络监听组件。利用数据库引擎的漏洞,攻击者能够破坏RDBMS核心,直接接管目标机器的RDBMS核心组件,还可以进行提权攻击,将低权限用户提权为DBA;利用SQL编程组件的漏洞,攻击者同样可以实现数据库账号提权攻击;利用网络监听组件的缓冲区溢出漏洞,可以直接夺取数据库所在主机的操作系统权限。

2、外部威胁主要来源于系统配置不当和黑客攻击

数据库外部威胁主要表现在人为因素上,可以分为系统配置不当和外部攻击。系统配置不当的主要表现形式有管理口令设置不当、数据管理账号权限设置不当等,这些都会增加数据库被入侵的风险,进而造成企业或组织的数据资产泄露或破坏;外部攻击的主要威胁来自于黑客对于数据库的攻击行为,其主要手段表现为第三方恶意组件攻击,例如数据库后门、勒索病毒、挖矿木马等。

二.  Mysql漏洞多DB2漏洞严重

截止2019年12月,CVE发布的被确认的国际主流数据库漏洞共计140个,其中Oracle 12个、MySQL 107个、Postgresql 4个、IBM DB2 14个。其中Oracle被发现的12个漏洞中含1个超危漏洞,4个高危漏洞;MySQL数据库的107个漏洞中含有4个高危漏洞,97个中危漏洞;Postgresql数据库发现2个高危漏洞;DB2数据库发现11个高危漏洞。

图片1 副本.png 

2019年出现的数据库漏洞MySQL数据库为主,大部分是中危漏洞, DB2数据库出现了多个高危漏洞,这两类数据库的用户需要引起重视。

三.  勒索病毒与挖矿木马是当前典型的数据库攻击手段

自2017年WannaCry勒索病毒爆发以来,数据勒索成为黑客攻击的重要手段。因为其攻击成本低,风险系数小,获取利益高,至今仍受到黑客的青睐。根据数据库所处位置,在攻击手段和流程上有所差别,但勒索攻击都会对数据库和数据库所有的组织造成重大伤害,包括数据资产的损失或者是财务损失。构建外围防护+定期安全探查+数据定期备份是防止数据库勒索攻击的有效手段。

数据库服务器硬件性能好,挖矿效率高,受到挖矿黑客的青睐。数据库自身漏洞以及针对数据库的安全防护较弱,给黑客攻击获取服务器权限部署挖矿软件提供了便利条件。这种攻击一般分为三个步骤,首先利用数据库漏洞获取到主机权限,然后部署挖矿软件和木马程序,最后利用恶意程序渗透网络中的其他主机,形成大的僵尸网络为挖矿服务。加强事先防御,及时更新软件、系统补丁,检查弱口令等数据库配置;定期检查数据库服务的运行情况,检查数据库日志中有无过多的用户登录记录,检查硬件的使用情况,看有无陌生进程占用过多资源,能够有效防止挖矿攻击。

四.  加强数据库权限控制和输入限制是有效的数据库安全措施

加强数据库权限控制和输入限制,能够在一定程度上提高数据库漏洞的利用难度,降低数据库被攻击的可能性,其主要手段有:用户权限最小化原则,加强数据库用户管理,严格检查数据库安全配置,数据库功能最小化,及时升级安全补丁等。

安华金和数据安全攻防实验室(DBSec Labs)于2010年11月成立,是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。旨在通过数据库漏洞与攻击技术的研究制定有效的防御手段和技术,从而降低数据库安全风险,以实现对数据资产的保护。

安华金和数据安全攻防实验室针对数据库漏洞安全威胁定期发布报告,旨在帮助广大用户了解数据库安全形势,完善企业及组织的数据安全解决方案提供帮助。

获取完整版报告请点这里