Inyeccion SQL y XSS con posterior publicación de datos de MySQL
Este fin de semana unos hackers rumanos pusieron en evidencia la falta de seguridad de algunos sitios web de Mysql.com y Sun (Full Disclosure bug mailing list), al exponer nombres de usuario y hashes de contraseñas obtenidos a través de un ataque a ciegas usando nada menos que una inyección SQL o Blind SQL injection.
Los hackers TinKode y Ne0h (del grupo Rumano Slacker.Ro) publicaron un volcado de credenciales robadas de MySQL.com, MySQL.fr, MySQL.de, MySQL.it y www-jp.mysql.com en Pastebin. Entre los datos se incluye la pobre contraseña de 4 dígitos que Robin Schumacher, director de gestión de productos, utilizaba en su cuenta de WordPress para blogs.mysql.com.
Los datos expuestos se corresponden con las credenciales de los usuarios del servidor MySQL y el volcado de la base de datos principal del sitio. Entre las credenciales pueden observarse nombres de usuario, contraseñas hasheadas, correos y direcciones.
Algunos de los hashes han sido además publicados en texto claro ya que eran tan sencillos que posiblemente a los atacantes les llevo escaso tiempo encontrar su correspondencia utilizando fuerza bruta con tablas rainbow. Sorprende (o no) observar contraseñas tan débiles como un simple número de 4 cifras para la cuenta de administrador.
La base de datos expuesta contenía correos electrónicos y credenciales de miembros y empleados, así como tablas con información de clientes y socios, y detalles internos de la red. Los hashes fueron publicados con algunos que ya habían sido descifrados. Por otro lado, XSSed.com también detalla una vulnerabilidad XSS (Cross Site Scripting) que afectan a MySQL.com y que podría haber proporcionado un punto de entrada secundaria que ponía en peligro a los visitantes y empleados desde principios de enero de 2011.
Al mismo tiempo un par de sitios de Sun/Oracle recibieron un ataque similar, pero en este caso sin comprometer datos de acceso. Mientras tanto, el sitio Sucuri solicitó a los usuarios registrados en Mysql que cambiaran sus contraseñas.
Fuente: DDSMedia y Seclists
Los hackers TinKode y Ne0h (del grupo Rumano Slacker.Ro) publicaron un volcado de credenciales robadas de MySQL.com, MySQL.fr, MySQL.de, MySQL.it y www-jp.mysql.com en Pastebin. Entre los datos se incluye la pobre contraseña de 4 dígitos que Robin Schumacher, director de gestión de productos, utilizaba en su cuenta de WordPress para blogs.mysql.com.
Los datos expuestos se corresponden con las credenciales de los usuarios del servidor MySQL y el volcado de la base de datos principal del sitio. Entre las credenciales pueden observarse nombres de usuario, contraseñas hasheadas, correos y direcciones.
Algunos de los hashes han sido además publicados en texto claro ya que eran tan sencillos que posiblemente a los atacantes les llevo escaso tiempo encontrar su correspondencia utilizando fuerza bruta con tablas rainbow. Sorprende (o no) observar contraseñas tan débiles como un simple número de 4 cifras para la cuenta de administrador.
La base de datos expuesta contenía correos electrónicos y credenciales de miembros y empleados, así como tablas con información de clientes y socios, y detalles internos de la red. Los hashes fueron publicados con algunos que ya habían sido descifrados. Por otro lado, XSSed.com también detalla una vulnerabilidad XSS (Cross Site Scripting) que afectan a MySQL.com y que podría haber proporcionado un punto de entrada secundaria que ponía en peligro a los visitantes y empleados desde principios de enero de 2011.
Al mismo tiempo un par de sitios de Sun/Oracle recibieron un ataque similar, pero en este caso sin comprometer datos de acceso. Mientras tanto, el sitio Sucuri solicitó a los usuarios registrados en Mysql que cambiaran sus contraseñas.
Fuente: DDSMedia y Seclists
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!