Eine schon ältere Sicherheitslücke in der MySQL-Datenbank macht aktuell Probleme. IT-Sicherheitsspezialist Willem de Groot berichtete dazu, dass eine als Magecart bekannt Gruppe von Cyberkriminellen ungeschützte Instanzen der Software Adminer und darin besagte MySQL-Lücke genutzt habe, um diese Server anzugreifen.
Die Software Adminer
Die Adminer-Software ist eigentlich ein in PHP geschriebenes Datenbank-Frontend. Es wird als einzelne große PHP-Datei bereitgestellt. Bei der Attacke suchten die Angreifer offen erreichbare Instanzen von Adminer im Netz– wahrscheinlich probierten sie einfach aus, ob sie die entsprechende Datei auf Webservern finden konnten oder eben nicht.
Dabei ist für die Kriminellen hilfreich, dass man auf der Login-Seite des Adminer-Tools den Server angeben kann , mit dem sich die Software verbinden soll.
Magecart hat sich auf Kreditkarten-Klau spezialisiert
Die Magecart-Hackergruppe hat sich darauf spezialisiert, Kreditkartendaten zu kopieren. Der Name Magecart ist eine Anspielung auf die verbreitete Shop-Software Magento.
Die Datenbank MySQL verfügt über eine Funktion, mit der man mit dem Befehl LOAD DATA LOCAL Daten vom System des Clients in eine lokale Datenbank importieren kann.
Hier steckt der Wurm drin
Die Sicherheitslücke entsteht dadurch, dass diese Funktion nicht nur von einem Client, sondern auch von einem Server ausgelöst werden kann.
Das kann nämlich dazu führen, dass ein bösartiger MySQL-Server beliebige Daten eines Clients ausliest. Auch der MySQL-Fork MariaDB ist von diesem Problem betroffen und damit ebenfalls auf diese Weise angreifbar.