Eine schon recht betagte Sicherheitslücke in MySQL sorgt aktuell für Ärger. Der IT-Sicherheitsspezialist Willem de Groot berichtete vor kurzem, dass eine als Magecart bekannt Gruppe von Malwareautoren ungeschützte Instanzen der Software Adminer und darin eben diese MySQL-Lücke genutzt habe, um Server anzugreifen.
Die Adminer-Software
Das Programm Adminer ist ein in PHP geschriebenes Datenbank-Frontend. Es wird als eine große PHP-Datei bereitgestellt. Die Angreifer suchten dabei nach offen erreichbaren Instanzen von Adminer – vermutlich probierten sie einfach aus, ob sie die entsprechende Datei auf Webservern finden konnten oder nicht. Auf der Login-Seite des Adminer-Tools kann man den Server angeben, mit dem die Software sich verbinden soll.
Magecart ist auf Kreditkarten-Klau spezialisiert
Dabei hat sich die Magecart-Gruppe darauf spezialisiert, Kreditkartendaten zu kopieren. Der Name Magecart ist eine Anspielung auf die verbreitete Shop-Software Magento.
MySQL verfügt über eine Funktion, mit der Daten vom System des Clients mit dem Befehl LOAD DATA LOCAL in eine lokale Datenbank importiert werden können. Das Problem dabei ist, dass diese Funktion kann nicht nur vom Client, sondern auch vom Server ausgelöst werden kann.
Das kann dann dazu führen, dass ein bösartiger MySQL-Server beliebige Daten eines Clients auslesen kann. Auch der MySQL-Fork MariaDB ist von diesem Problem betroffen.
