安华金和长期致力于帮助客户应对数据库安全领域的威胁。为了提高数据库用户的安全意识,快速反馈最新数据库漏洞被利用方向,安华金和数据库攻防实验室(DBSec Labs)最新发布《2017年数据库漏洞安全威胁报告》,该报告用于快速跟踪及反馈数据库安全的发展态势。
(如需获取完整版报告文档,请至文末查看)
2017年数据库安全形势综述
当今,云计算、大数据、AI被认为是有望改变世界的“三剑客”,将深入影响甚至支撑未来人类文明发展的方方面面,而数据是支撑这些前沿技术存在与发展的生产资料,被企业和部门视为资产甚至能源。作为数据存储的主要技术手段,数据库系统在整个IT架构中的重要地位不言而喻。
大数据时代来临,各行业数据量呈TB级别增长。除了数据规模的攀升,数据库系统所处的网络环境也在发生变化。数据库原本被设计在内网中使用,自身安全体系根据内网需求搭建。随着云技术的飞速发展,数据库被广泛使用到私有云、公有云、行业云等开放或半开放环境中。目前,各类云平台上累计部署的数据库服务器已超过70万台,随着《云计算发展三年行动计划(2017-2019年)》的发布,这个数字还将不断攀升。
网络环境日益变化,旧的安全体系已不再适用,高速的场景迁移迫使数据库面临更多安全挑战。目前,无论企业还是客户都必须要考虑数据安全问题。客户需要有安全感,而企业则需要对应用数字技术加速核心业务建立信心,所以解决现实的和潜在的风险就至关重要。
随着大数据库时代的到来,云平台的流行,物联网的兴起,数据库的应用范围越来越广泛,基本上每个领域都能见到数据库的影子。从世界500强到各国*机关,数据库在其中扮演着非常重要的角色,很多重要和敏感的信息都保存其中,例如个人银行账号密码、*机密资料、军事核心武器设计图等。因此,数据库成为入侵者越来越有价值的攻击目标,一旦获得数据库权限,入侵者则可以获得非常有价值的数据。因此,确保数据库以及数据库中的数据安全至关重要。
数据库被设计的目的就是以有序和易于检索的方式提供大量数据的服务。其本身是被设计在内网之中的,一个相对安全的环境中。而现在发展的趋势是内外网逐渐融合,数据库将面临大量新型场景。其中很多新型场景面临的安全威胁是数据库现有安全机制无法防护的。数据库的优良性能和落后的安全机制成为鲜明的对比。数据库现在首要需要解决的就是有针对的,加强某些场景下的安全防护能力,否则安全将成为数据库的“阿喀琉斯之踵”。
数据库安全威胁分析
数据库对安全的设计最初是依照美国国防部标准形成,并逐渐发展和强化。但是随着大数据的兴起,数据库开始进入更多领域,开发更多功能,部署在更加危险的网络环境中。大部分商用数据库虽然都通过了安全标准,但那些安全标准和现实安全有很大的区别。今年人为因素,数据库系统安全和第三方恶意组件共同组成直刺数据库的矛。如何帮助数据库抵御这三种威胁的攻击将成为打赢此次攻防大战的关键。
上图为安全威胁分析表,很多场景中攻击者采用多种手段(人为因素一般是作为前哨)。第三方恶意组件已经成为数据库安全的最大威胁。数据库系统安全还是数据库威胁中的重要一环,人为因素对数据库的威胁将是最难解决的一环。以上各种数据库安全威胁展开分析见报告详版。
1. 数据库勒索攻击分析
勒索软件一直是数据库安全的最大威胁。数据库勒索和数据库后门就是这方面的代表。不法分子通过钓鱼、网络蠕虫、后门工具等方式,向特定目标的数据库服务器植入后门,长期盗取数据;或加密数据文件,向数据所有者实施勒索。这些后门勒索等手段,随着手段成熟、工具化、傻瓜化正急速扩大其攻击范围,这是数据库的首要安全威胁。
要应对黑客的攻击就必须找准发力点,提高人员素质和管理,构建安全稳定的数据库安全机制,杜绝勒索软件的攻击。我们会在报告详版中涉及三种不同场景下的数据库勒索攻击——针对数据库的比特币勒索攻击、云上数据库的比特币勒索、内网数据库的比特币勒索,并提供相应的应对措施。
目前数据库安全威胁主要来自三个方面,其中数据库漏洞是外部攻击者最常利用的攻击途径,通过漏洞攻击入侵数据库系统,可能造成两方面的严重影响,一是数据泄露或被窃造成的数据资产损失,另一方面,由于数据库系统在IT架构中处于核心位置,入侵者造成数据库功能影响后,还可能以数据库为跳板从而向整个局域网发起更大范围攻击,造成系统性风险。
由于数据库漏洞挖掘的技术门槛极高,2016年之前,能够成功发现并提交数据库漏洞的技术团队全部来自国外,以欧美为主。今年,安华金和攻防实验室国内首次成功提交国际数据库漏洞,并获CVE认证,实现了国内安全团队在此方面的突破;从去年开始,国内权威漏洞平台CNNVD上,也开始出现国产数据库漏洞信息,这表明国产数据库的应用范围正在扩大,受到安全研究团队更多关注,国内数据库漏洞研究能力的大幅提升,有助于提高国内数据库安全建设的整体水平。
数据库漏洞属于软件漏洞中的一种,主要是被用来突破系统的安全策略。数据库漏洞往往会影响很大一个范围,除了影响数据库自身,还包括数据库所在操作系统和数据库所在局域网的整体安全。漏洞的存在和数据库的使用时间有密切关系,随着用户的深入使用,漏洞会不断被暴露出来,然后又会不断被系统补丁修补,或在新版本中修复。随着时间的推移,旧的漏洞会被修复,新的漏洞会不断出现。漏洞不会彻底消失,而会长期存在。数据库漏洞影响广、威胁大,防护者除了积极更新补丁外,还可通过合理配置提高入侵难度的特性。
下面从漏洞时间分布、漏洞威胁分布、数据库厂商爆出漏洞比例、受影响组件和漏洞类型分类等5个角度总结和分析全球主流数据库存在的安全漏洞状况,以总结漏洞发展趋势,研究结果有助于形成及时应对方法。漏洞信息取自NVD(美国国家漏洞库)和CNNVD(国家信息安全漏洞库)及CNVD(国家信息安全漏洞共享平台)。
1. 按威胁类型分布情况分析
截止2017年12月,NVD发布的被确认的国际主流数据库漏洞共计124个,其中Oracle 10个、MySQL 91个、Postgresql 9个、Microsoft SQL Server 1个、IBM DB2 10个、Informix3个(其中有2个漏洞来自安华金和攻防实验室)。其中Oracle被发现的10个漏洞中含4个高危漏洞;MySQL数据库的91个漏洞中含有7个高危漏洞;Postgresql数据库的9个漏洞中含7个高危漏洞。截止2017年12月,来自CNNVD和CNVD的国产数据库漏洞一共11个,全部来自安华金和攻防实验室,其中达梦数据库漏洞10个,Gbase1个;达梦数据库漏洞包括1个超高危、3个高危。
2017年各主流数据库的漏洞分布情况
按照对数据库的机密性、完整性和可用性的影响程度,数据库漏洞可以分成3大类:高危漏洞、中危漏洞和低危漏洞。2017年被确认的135个漏洞中高危漏洞30个,中危漏洞95个,低危漏洞10个。高危漏洞集中分布在Oracle和MySQL中。
2. 按受影响组件属性分类情况分析
从受影响组件的角度分析:Oracle数据库的 10个漏洞主要集中于java vm和Core RDBMS中(这三个占新漏洞的80%)。这3个组件中Core RDBMS 是Oracle数据库的最核心组件。
MySQL数据库由于代码开源,加之平行版本较多,因此被发现的漏洞较多。由于MySQL衍生版本较多,虽然未标注但很多漏洞也在衍生版本上存在。用户需要同样关注衍生版本的数据库安全。
Postgresql、DB2总漏洞数量不多,但风险等级较高。云环境具备一定的开放程度,数据库暴露性增强,这可能给攻击者提供了利用漏洞的便利性。MySQL和sqlserver在云平台中占据非常多的份额,云平台的用户和云服务商需要将数据库安全的防护重点集中于这两类数据库上。
3. 按漏洞的攻击途径分类情况分析
通常漏洞按攻击途径划分为两类:远程服务器漏洞和本地漏洞,具体如下图:
各主流数据库漏洞的攻击途径分布
根据上图按攻击途径的分类可知:远程漏洞占74%,本地漏洞基本只占17%。而在远程漏洞中,需要登入到数据库在SQL层的漏洞远多于协议层的漏洞。除去不确定的漏洞,SQL层占据了全部漏洞类型的81%,协议层漏洞占据了9%。SQL层的漏洞利用需要通过一组弱口令登入到数据库中,通过巧妙的字符串组合导致数据库出现拒绝服务、数据库泄露、权限提升、操作系统被控制等多种问题。针对数据库中的SQL层可以采用对问题函数、存储过程进行权限限制等方式来规避。缓冲区溢出则需要必须进行源码级别的防守或升级官方补丁才行。
数据库系统的安全建议
数据库安全发展到现在,权限的控制和输入的限制是永恒的话题。今年5大主流数据中依然被发现了26个高危漏洞。其中,缓冲区溢出和通讯协议破解的漏洞的总数越来越少,但一旦出现将是数据库的噩梦。数据库引擎中的越权访问、账号提权、敏感信息泄露侵依旧是漏洞中的主流,基本80%以上的漏洞都属于数据库引擎范畴。在数据库引擎层的漏洞中,今年最常见的漏洞是竞态越权。大部分引擎层的漏洞的想要实施是需要一被盗取的数据库账号具备一定的权限。所以用户可以有针对性的对数据库进行加固。针对数据库漏洞攻击的数据库加固方式可以采用购买第三方产品。但更重要的是要遵循以下原则:
1.用户权限最小化原则。90%的漏洞攻击都是需要账号具备一定的权限。所以请用户配置数据库帐号时,给能满足应用系统使用的最小权限的账号。任何额外的权限都可能是潜在的攻击点。
2. 定期安装数据库厂商提供的漏洞补丁。根据多年经验发现95%以上数据库被黑客入侵。黑客使用的漏洞并不是0day,而是数据库厂商早已发布过,已经有补丁可用的漏洞。如果由于应用系统等原因无法及时打补丁,也请通过虚拟补丁等技术暂时或永久加固数据库。
3. 安全配置。70%的数据库漏洞能被利用的条件除了一定的权限外,还需要数据库未开启某些安全配置。数据库默认安装下并不会开启所有安全配置。在充分考虑对应用的影响后,尽可能开启数据库自身提供的安全设置将会极大降低被不法分子攻击的成功率。例如注明的TNS投毒漏洞,其实开启TNS密码就可以简单杜绝。
4. 数据库功能最小化原则。数据库本身为了适应足够多的场景,设计了各种各样的功能组件。但对于用户来说,大部分功能组件根本不会使用。建议在综合应用和运维后,划定一个使用组件的最小范围。删除数据库中不用的组件。减少数据库组件可以有效的减少用户面对的风险面。在一定程度可以规避某些特定组件存在的漏洞攻击。
结束语
回顾这几年,虽然每年漏洞出现的数量并非稳定下降,但数据库自身出现漏洞的几率越来越低,漏洞数量不能稳定下降主要和两点紧密相关:
-
很多数据库为了方便用户扩展了大量接口和功能,新功能在最初的版本总是受到自身漏洞和兼容性漏洞的双重困扰。
-
黑客利用漏洞的能力越来越强,以前很多被发现的漏洞其实是无法被利用的,黑客逐渐把其中一部分以前无法利用的漏洞变得可以利用。同时黑客也会特别关注与某些行业,数据库漏洞攻击往往也集中在这些行业领域。
最后,也是最重要的,大部分数据库漏洞攻击者依然是以获利为第一目的的。数据库跟随业务逐渐从后台走向前台;从内网走向外网;从实体走向虚拟(云)。数据库处于新的环境之中,给黑客带来了更多入侵的机会。相信本文的这些观点对大家预测未来的数据库攻防的形式,以及进一步完善企业及组织的解决方案是有价值的。今年请特别注意MySQL数据库的安全防护工作。
获取完整版《2017年数据库漏洞安全威胁报告》请关注“安华云安全”微信号,点击菜单“发现-获取PPT”获取