Descubierta una grave vulnerabilidad en MySQL/MariaDB

La noticia saltaba el pasado sábado 9 de junio cuando el investigador Sergei Golubchik anunciaba el descubrimiento de una vulnerabilidad grave en MySQL y MariaDB. Según este investigador, se podría identificar como root en un servidor vulnerable usando cualquier contraseña tras un número de intentos variable.

Esto se consigue con una simple línea en Shell script sobre una base de datos vulnerable en local y que cuente con el cliente MySQL. La línea en cuestión sería la siguiente, donde el password puede ser sustituido por cualquier valor.

for i in `seq 1 1000`; do mysql -u root –password=loquesea -h 127.0.0.1 2>/dev/null; done

Según la información obtenida hasta el momento, serían vulnerables las siguientes versiones:

• MariaDB y MySQL hasta la 5.1.61, 5.2.11, 5.3.5 y 5.5.22

Permaneciendo al margen de esta vulnerabilidad estas otras versiones:

• MySQL 5.1.63, 5.5.24 y 5.6.6
• MariaDB 5.1.62, 5.2.12, 5.3.6 y 5.5.23

Varias páginas web especializadas en seguridad, como Security by Default, han comentado esta vulnerabilidad y han mostrado ejemplos de cómo han conseguido autenticarse como root aprovechándose de este grave fallo y los desarrolladores del popular Metasploit Framework ya lo han integrado como exploit en su listado de ataques, por lo que es muy probable que veamos múltiples intentos de acceder a bases de datos vulnerables en las próximas semanas.

Aunque ya hay versiones que solucionan este grave fallo, es más que probable que muchos servidores permanezcan con una versión vulnerable durante mucho tiempo. Esto es debido a que la información contenida en estas bases de datos muchas veces es considerada crítica y no son pocos los administradores que prefieren no actualizar a una versión posterior por miedo a perder datos valiosos.

No obstante, desde el laboratorio de ESET en Ontinet.com, consideramos imprescindible contar con una versión actualizada tanto de MySQL como MariaDB, puesto que los datos almacenados pueden ser vitales para nuestra empresa y a nadie le gusta que anden husmeando alegremente en su información confidencial.

Josep Albors
@JosepAlbors

El grupo hacktivista LulzSec Reborn roba y publica 10.000 contraseñas de Twitter