2017年數(shù)據(jù)庫漏洞安全威脅報告

安華金和長期致力于幫助客戶應(yīng)對數(shù)據(jù)庫安全領(lǐng)域的威脅。為了提高數(shù)據(jù)庫用戶的安全意識，快速反饋最新數(shù)據(jù)庫漏洞被利用方向，安華金和數(shù)據(jù)庫攻防實驗室（DBSec Labs）最新發(fā)布《2017年數(shù)據(jù)庫漏洞安全威脅報告》，該報告用于快速跟蹤及反饋數(shù)據(jù)庫安全的發(fā)展態(tài)勢。

一、2017年數(shù)據(jù)庫安全形勢綜述

1、數(shù)據(jù)安全現(xiàn)狀概述

當(dāng)今，云計算、大數(shù)據(jù)、AI被認(rèn)為是有望改變世界的“三劍客”，將深入影響甚至支撐未來人類文明發(fā)展的方方面面，而數(shù)據(jù)是支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料，被企業(yè)和部門視為資產(chǎn)甚至能源。作為數(shù)據(jù)存儲的主要技術(shù)手段，數(shù)據(jù)庫系統(tǒng)在整個IT架構(gòu)中的重要地位不言而喻。

大數(shù)據(jù)時代來臨，各行業(yè)數(shù)據(jù)量呈TB級別增長。除了數(shù)據(jù)規(guī)模的攀升，數(shù)據(jù)庫系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境也在發(fā)生變化。數(shù)據(jù)庫原本被設(shè)計在內(nèi)網(wǎng)中使用，自身安全體系根據(jù)內(nèi)網(wǎng)需求搭建。隨著云技術(shù)的飛速發(fā)展，數(shù)據(jù)庫被廣泛使用到私有云、公有云、行業(yè)云等開放或半開放環(huán)境中。目前，各類云平臺上累計部署的數(shù)據(jù)庫服務(wù)器已超過70萬臺，隨著《云計算發(fā)展三年行動計劃（2017-2019年）》的發(fā)布，這個數(shù)字還將不斷攀升。

網(wǎng)絡(luò)環(huán)境日益變化，舊的安全體系已不再適用，高速的場景遷移迫使數(shù)據(jù)庫面臨更多安全挑戰(zhàn)。目前，無論企業(yè)還是客戶都必須要考慮數(shù)據(jù)安全問題。客戶需要有安全感，而企業(yè)則需要對應(yīng)用數(shù)字技術(shù)加速核心業(yè)務(wù)建立信心，所以解決現(xiàn)實的和潛在的風(fēng)險就至關(guān)重要。

2、數(shù)據(jù)庫自身的安全缺陷

隨著大數(shù)據(jù)庫時代的到來，云平臺的流行，物聯(lián)網(wǎng)的興起，數(shù)據(jù)庫的應(yīng)用范圍越來越廣泛，基本上每個領(lǐng)域都能見到數(shù)據(jù)庫的影子。從世界500強(qiáng)到各國政府機(jī)關(guān)，數(shù)據(jù)庫在其中扮演著非常重要的角色，很多重要和敏感的信息都保存其中，例如個人銀行賬號密碼、政府機(jī)密資料、軍事核心武器設(shè)計圖等。因此，數(shù)據(jù)庫成為入侵者越來越有價值的攻擊目標(biāo)，一旦獲得數(shù)據(jù)庫權(quán)限，入侵者則可以獲得非常有價值的數(shù)據(jù)。因此，確保數(shù)據(jù)庫以及數(shù)據(jù)庫中的數(shù)據(jù)安全至關(guān)重要。

數(shù)據(jù)庫被設(shè)計的目的就是以有序和易于檢索的方式提供大量數(shù)據(jù)的服務(wù)。其本身是被設(shè)計在內(nèi)網(wǎng)之中的，一個相對安全的環(huán)境中。而現(xiàn)在發(fā)展的趨勢是內(nèi)外網(wǎng)逐漸融合，數(shù)據(jù)庫將面臨大量新型場景。其中很多新型場景面臨的安全威脅是數(shù)據(jù)庫現(xiàn)有安全機(jī)制無法防護(hù)的。數(shù)據(jù)庫的優(yōu)良性能和落后的安全機(jī)制成為鮮明的對比。數(shù)據(jù)庫現(xiàn)在首要需要解決的就是有針對的，加強(qiáng)某些場景下的安全防護(hù)能力，否則安全將成為數(shù)據(jù)庫的“阿喀琉斯之踵”。

二、數(shù)據(jù)庫安全威脅分析

數(shù)據(jù)庫對安全的設(shè)計最初是依照美國國防部標(biāo)準(zhǔn)形成，并逐漸發(fā)展和強(qiáng)化。但是隨著大數(shù)據(jù)的興起，數(shù)據(jù)庫開始進(jìn)入更多領(lǐng)域，開發(fā)更多功能，部署在更加危險的網(wǎng)絡(luò)環(huán)境中。大部分商用數(shù)據(jù)庫雖然都通過了安全標(biāo)準(zhǔn)，但那些安全標(biāo)準(zhǔn)和現(xiàn)實安全有很大的區(qū)別。今年人為因素，數(shù)據(jù)庫系統(tǒng)安全和第三方惡意組件共同組成直刺數(shù)據(jù)庫的矛。如何幫助數(shù)據(jù)庫抵御這三種威脅的攻擊將成為打贏此次攻防大戰(zhàn)的關(guān)鍵。

上圖為安全威脅分析表，很多場景中攻擊者采用多種手段（人為因素一般是作為前哨）。第三方惡意組件已經(jīng)成為數(shù)據(jù)庫安全的最大威脅。數(shù)據(jù)庫系統(tǒng)安全還是數(shù)據(jù)庫威脅中的重要一環(huán)，人為因素對數(shù)據(jù)庫的威脅將是最難解決的一環(huán)。以上各種數(shù)據(jù)庫安全威脅展開分析見報告詳版。

1、數(shù)據(jù)庫勒索攻擊分析

勒索軟件一直是數(shù)據(jù)庫安全的最大威脅。數(shù)據(jù)庫勒索和數(shù)據(jù)庫后門就是這方面的代表。不法分子通過釣魚、網(wǎng)絡(luò)蠕蟲、后門工具等方式，向特定目標(biāo)的數(shù)據(jù)庫服務(wù)器植入后門，長期盜取數(shù)據(jù)；或加密數(shù)據(jù)文件，向數(shù)據(jù)所有者實施勒索。這些后門勒索等手段，隨著手段成熟、工具化、傻瓜化正急速擴(kuò)大其攻擊范圍，這是數(shù)據(jù)庫的首要安全威脅。

要應(yīng)對黑客的攻擊就必須找準(zhǔn)發(fā)力點(diǎn)，提高人員素質(zhì)和管理，構(gòu)建安全穩(wěn)定的數(shù)據(jù)庫安全機(jī)制，杜絕勒索軟件的攻擊。我們會在報告詳版中涉及三種不同場景下的數(shù)據(jù)庫勒索攻擊——針對數(shù)據(jù)庫的比特幣勒索攻擊、云上數(shù)據(jù)庫的比特幣勒索、內(nèi)網(wǎng)數(shù)據(jù)庫的比特幣勒索，并提供相應(yīng)的應(yīng)對措施。

應(yīng)對措施

比特幣勒索正在出現(xiàn)向數(shù)據(jù)庫領(lǐng)域深入的趨勢。無論是亂槍打鳥的云上比特幣勒索，還是定點(diǎn)打擊的內(nèi)網(wǎng)比特幣勒索都應(yīng)該引起各位數(shù)據(jù)庫安全工作者的警惕。除了警告用戶注意垃圾郵件、惡意廣告和定期備份數(shù)據(jù)、關(guān)注數(shù)據(jù)庫安全配置、使用高強(qiáng)度口令之外可以建立的安全防護(hù)機(jī)制應(yīng)當(dāng)是全面立體的。解決思路：構(gòu)建預(yù)先防護(hù)+定期安全探查+數(shù)據(jù)定期備份的三重安全保障。（具體細(xì)節(jié)請關(guān)注報告詳版）

2、數(shù)據(jù)庫系統(tǒng)漏洞的統(tǒng)計分析

目前數(shù)據(jù)庫安全威脅主要來自三個方面，其中數(shù)據(jù)庫漏洞是外部攻擊者最常利用的攻擊途徑，通過漏洞攻擊入侵?jǐn)?shù)據(jù)庫系統(tǒng)，可能造成兩方面的嚴(yán)重影響，一是數(shù)據(jù)泄露或被竊造成的數(shù)據(jù)資產(chǎn)損失，另一方面，由于數(shù)據(jù)庫系統(tǒng)在IT架構(gòu)中處于核心位置，入侵者造成數(shù)據(jù)庫功能影響后，還可能以數(shù)據(jù)庫為跳板從而向整個局域網(wǎng)發(fā)起更大范圍攻擊，造成系統(tǒng)性風(fēng)險。

由于數(shù)據(jù)庫漏洞挖掘的技術(shù)門檻極高，2016年之前，能夠成功發(fā)現(xiàn)并提交數(shù)據(jù)庫漏洞的技術(shù)團(tuán)隊全部來自國外，以歐美為主。今年，安華金和攻防實驗室國內(nèi)首次成功提交國際數(shù)據(jù)庫漏洞，并獲CVE認(rèn)證，實現(xiàn)了國內(nèi)安全團(tuán)隊在此方面的突破；從去年開始，國內(nèi)權(quán)威漏洞平臺CNNVD上，也開始出現(xiàn)國產(chǎn)數(shù)據(jù)庫漏洞信息，這表明國產(chǎn)數(shù)據(jù)庫的應(yīng)用范圍正在擴(kuò)大，受到安全研究團(tuán)隊更多關(guān)注，國內(nèi)數(shù)據(jù)庫漏洞研究能力的大幅提升，有助于提高國內(nèi)數(shù)據(jù)庫安全建設(shè)的整體水平。

數(shù)據(jù)庫漏洞屬于軟件漏洞中的一種，主要是被用來突破系統(tǒng)的安全策略。數(shù)據(jù)庫漏洞往往會影響很大一個范圍，除了影響數(shù)據(jù)庫自身，還包括數(shù)據(jù)庫所在操作系統(tǒng)和數(shù)據(jù)庫所在局域網(wǎng)的整體安全。漏洞的存在和數(shù)據(jù)庫的使用時間有密切關(guān)系，隨著用戶的深入使用，漏洞會不斷被暴露出來，然后又會不斷被系統(tǒng)補(bǔ)丁修補(bǔ)，或在新版本中修復(fù)。隨著時間的推移，舊的漏洞會被修復(fù)，新的漏洞會不斷出現(xiàn)。漏洞不會徹底消失，而會長期存在。數(shù)據(jù)庫漏洞影響廣、威脅大，防護(hù)者除了積極更新補(bǔ)丁外，還可通過合理配置提高入侵難度的特性。

下面從漏洞時間分布、漏洞威脅分布、數(shù)據(jù)庫廠商爆出漏洞比例、受影響組件和漏洞類型分類等5個角度總結(jié)和分析全球主流數(shù)據(jù)庫存在的安全漏洞狀況，以總結(jié)漏洞發(fā)展趨勢，研究結(jié)果有助于形成及時應(yīng)對方法。漏洞信息取自NVD（美國國家漏洞庫）和CNNVD(國家信息安全漏洞庫)及CNVD（國家信息安全漏洞共享平臺）。

1、按威脅類型分布情況分析

截止2017年12月，NVD發(fā)布的被確認(rèn)的國際主流數(shù)據(jù)庫漏洞共計124個，其中Oracle 10個、MySQL 91個、Postgresql 9個、Microsoft SQL Server 1個、IBM DB2 10個、Informix3個（其中有2個漏洞來自安華金和攻防實驗室）。其中Oracle被發(fā)現(xiàn)的10個漏洞中含4個高危漏洞；MySQL數(shù)據(jù)庫的91個漏洞中含有7個高危漏洞；Postgresql數(shù)據(jù)庫的9個漏洞中含7個高危漏洞。截止2017年12月，來自CNNVD和CNVD的國產(chǎn)數(shù)據(jù)庫漏洞一共11個，全部來自安華金和攻防實驗室，其中達(dá)夢數(shù)據(jù)庫漏洞10個，Gbase1個；達(dá)夢數(shù)據(jù)庫漏洞包括1個超高危、3個高危。

2017年各主流數(shù)據(jù)庫的漏洞分布情況

按照對數(shù)據(jù)庫的機(jī)密性、完整性和可用性的影響程度，數(shù)據(jù)庫漏洞可以分成3大類：高危漏洞、中危漏洞和低危漏洞。2017年被確認(rèn)的135個漏洞中高危漏洞30個，中危漏洞95個，低危漏洞10個。高危漏洞集中分布在Oracle和MySQL中。

2017年各主流數(shù)據(jù)庫漏洞的危害等級分布

2、按受影響組件屬性分類情況分析

從受影響組件的角度分析：Oracle數(shù)據(jù)庫的 10個漏洞主要集中于java vm和Core RDBMS中（這三個占新漏洞的80%）。這3個組件中Core RDBMS 是Oracle數(shù)據(jù)庫的最核心組件。

MySQL數(shù)據(jù)庫由于代碼開源，加之平行版本較多，因此被發(fā)現(xiàn)的漏洞較多。由于MySQL衍生版本較多，雖然未標(biāo)注但很多漏洞也在衍生版本上存在。用戶需要同樣關(guān)注衍生版本的數(shù)據(jù)庫安全。

Postgresql、DB2總漏洞數(shù)量不多，但風(fēng)險等級較高。云環(huán)境具備一定的開放程度，數(shù)據(jù)庫暴露性增強(qiáng)，這可能給攻擊者提供了利用漏洞的便利性。MySQL和sqlserver在云平臺中占據(jù)非常多的份額，云平臺的用戶和云服務(wù)商需要將數(shù)據(jù)庫安全的防護(hù)重點(diǎn)集中于這兩類數(shù)據(jù)庫上。

3、按漏洞的攻擊途徑分類情況分析

通常漏洞按攻擊途徑劃分為兩類：遠(yuǎn)程服務(wù)器漏洞和本地漏洞，具體如下圖：

各主流數(shù)據(jù)庫漏洞的攻擊途徑分布

根據(jù)上圖按攻擊途徑的分類可知：遠(yuǎn)程漏洞占74%，本地漏洞基本只占17%。而在遠(yuǎn)程漏洞中，需要登入到數(shù)據(jù)庫在SQL層的漏洞遠(yuǎn)多于協(xié)議層的漏洞。除去不確定的漏洞，SQL層占據(jù)了全部漏洞類型的81%，協(xié)議層漏洞占據(jù)了9%。SQL層的漏洞利用需要通過一組弱口令登入到數(shù)據(jù)庫中，通過巧妙的字符串組合導(dǎo)致數(shù)據(jù)庫出現(xiàn)拒絕服務(wù)、數(shù)據(jù)庫泄露、權(quán)限提升、操作系統(tǒng)被控制等多種問題。針對數(shù)據(jù)庫中的SQL層可以采用對問題函數(shù)、存儲過程進(jìn)行權(quán)限限制等方式來規(guī)避。緩沖區(qū)溢出則需要必須進(jìn)行源碼級別的防守或升級官方補(bǔ)丁才行。

數(shù)據(jù)庫漏洞攻擊發(fā)生的網(wǎng)絡(luò)架構(gòu)分布

數(shù)據(jù)庫系統(tǒng)的安全建議

數(shù)據(jù)庫安全發(fā)展到現(xiàn)在，權(quán)限的控制和輸入的限制是永恒的話題。今年5大主流數(shù)據(jù)中依然被發(fā)現(xiàn)了26個高危漏洞。其中，緩沖區(qū)溢出和通訊協(xié)議破解的漏洞的總數(shù)越來越少，但一旦出現(xiàn)將是數(shù)據(jù)庫的噩夢。數(shù)據(jù)庫引擎中的越權(quán)訪問、賬號提權(quán)、敏感信息泄露侵依舊是漏洞中的主流，基本80%以上的漏洞都屬于數(shù)據(jù)庫引擎范疇。在數(shù)據(jù)庫引擎層的漏洞中，今年最常見的漏洞是競態(tài)越權(quán)。大部分引擎層的漏洞的想要實施是需要一被盜取的數(shù)據(jù)庫賬號具備一定的權(quán)限。所以用戶可以有針對性的對數(shù)據(jù)庫進(jìn)行加固。針對數(shù)據(jù)庫漏洞攻擊的數(shù)據(jù)庫加固方式可以采用購買第三方產(chǎn)品。但更重要的是要遵循以下原則：

1.用戶權(quán)限最小化原則。90%的漏洞攻擊都是需要賬號具備一定的權(quán)限。所以請用戶配置數(shù)據(jù)庫帳號時，給能滿足應(yīng)用系統(tǒng)使用的最小權(quán)限的賬號。任何額外的權(quán)限都可能是潛在的攻擊點(diǎn)。

2. 定期安裝數(shù)據(jù)庫廠商提供的漏洞補(bǔ)丁。根據(jù)多年經(jīng)驗發(fā)現(xiàn)95%以上數(shù)據(jù)庫被黑客入侵。黑客使用的漏洞并不是0day，而是數(shù)據(jù)庫廠商早已發(fā)布過，已經(jīng)有補(bǔ)丁可用的漏洞。如果由于應(yīng)用系統(tǒng)等原因無法及時打補(bǔ)丁，也請通過虛擬補(bǔ)丁等技術(shù)暫時或永久加固數(shù)據(jù)庫。

3. 安全配置。70%的數(shù)據(jù)庫漏洞能被利用的條件除了一定的權(quán)限外，還需要數(shù)據(jù)庫未開啟某些安全配置。數(shù)據(jù)庫默認(rèn)安裝下并不會開啟所有安全配置。在充分考慮對應(yīng)用的影響后，盡可能開啟數(shù)據(jù)庫自身提供的安全設(shè)置將會極大降低被不法分子攻擊的成功率。例如注明的TNS投毒漏洞，其實開啟TNS密碼就可以簡單杜絕。

4. 數(shù)據(jù)庫功能最小化原則。數(shù)據(jù)庫本身為了適應(yīng)足夠多的場景，設(shè)計了各種各樣的功能組件。但對于用戶來說，大部分功能組件根本不會使用。建議在綜合應(yīng)用和運(yùn)維后，劃定一個使用組件的最小范圍。刪除數(shù)據(jù)庫中不用的組件。減少數(shù)據(jù)庫組件可以有效的減少用戶面對的風(fēng)險面。在一定程度可以規(guī)避某些特定組件存在的漏洞攻擊。

結(jié)束語

回顧這幾年，雖然每年漏洞出現(xiàn)的數(shù)量并沒有穩(wěn)定下降，但數(shù)據(jù)庫自身出現(xiàn)漏洞的幾率越來越低，漏洞數(shù)量不能穩(wěn)定下降主要和兩點(diǎn)緊密相關(guān)：

第一，很多數(shù)據(jù)庫為了方便用戶擴(kuò)展了大量接口和功能，新功能在最初的版本總是受到自身漏洞和兼容性漏洞的雙重困擾。

第二，黑客利用漏洞的能力越來越強(qiáng)，以前很多被發(fā)現(xiàn)的漏洞其實是無法被利用的，黑客逐漸把其中一部分以前無法利用的漏洞變得可以利用。同時黑客也會特別關(guān)注與某些行業(yè)，數(shù)據(jù)庫漏洞攻擊往往也集中在這些行業(yè)領(lǐng)域。

最后，也是最重要的，大部分?jǐn)?shù)據(jù)庫漏洞攻擊者依然是以獲利為第一目的的。數(shù)據(jù)庫跟隨業(yè)務(wù)逐漸從后臺走向前臺；從內(nèi)網(wǎng)走向外網(wǎng)；從實體走向虛擬（云）。數(shù)據(jù)庫處于新的環(huán)境之中，給黑客帶來了更多入侵的機(jī)會。相信本文的這些觀點(diǎn)對大家預(yù)測未來的數(shù)據(jù)庫攻防的形式，以及進(jìn)一步完善企業(yè)及組織的解決方案是有價值的。今年請?zhí)貏e注意MySQL數(shù)據(jù)庫的安全防護(hù)工作。下載完整版報告：http://www.dbsec.cn/operations/download.html

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。