急訊!SQLite DB嚴重漏洞"麥哲倫",波及全球IT環境
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:496
內文
●概述:
關聯式資料庫引擎SQLite,係C語言開發,為輕量級嵌入式資料庫,可整合在用戶程式中,非常見的主從式架構,經騰訊刀鋒安全團隊(Tencent Blade security Team)研究,SQLite存在嚴重RCE,攻擊者可從遠距或本機,循Web SQL API介面注入程式碼字串後,被視作SQL語法執行,衍生資料外洩、服務停止等後果。因SQLite蹤跡遍及全球各類硬體、OS、應用程式,特別是採用Chromium開源技術之瀏覽器(Google Chrome、Vivaldi、Opera、Brave),影響範圍之廣無法估計,該漏洞命名為'Magellan',取麥哲倫航海環繞地球之意,儘管SQLite Team已改善,且暫無在野攻擊事件,然囿於全面修補工程浩大,以及官方修補釋出後必遭逆向工程研究其探勘原理,"麥哲倫"仍將威脅軟體生態數年,確定安全無虞者為Firefox、Edge、Safari、Chrome 71.0.3578.80以後版本。
●編註:
(1)麥哲倫RCE弱點
先決攻擊條件為具備SQL指令知識,再架設陷阱站台,藉由社交工程手法,誘騙受害者造訪惡意網頁,即可遠端探勘'Magellan'漏洞,讓瀏覽器內嵌SQLite與Web SQL API介面解析特製程式碼資料字串,轉譯成正式SQL語法後直接執行,侵入資料庫。
類似手法也能從本機進行,因SQLite架構不同於多數SQL database,不依賴另外的server程序,能直接從硬碟讀寫,故只要取得本機帳密,駭客照樣能注入惡意指令。
(2)風險評估
先說明能免疫"麥哲倫"的條件,一是其瀏覽器不支援Web SQL API(已棄用),二是SQLite3程式未啟動FTS,已知能無視"麥哲倫"的安全browser有Firefox、Edge、Safari、Chrome 71.0.3578.80以後版本。
至於受"麥哲倫"弱點影響範圍甚鉅,無法預估數量,因涵蓋IoT、行動、桌機等硬體規格,與各式作業系統平台(Windows、Android、iOS),且SQLite廣泛應用於Adobe家族、Skype、Dropbox等app,尤其是涉及Web SQL API的Chromium開源技術之瀏覽器,確知者Google Chrome、Vivaldi、Opera、Brave。
經騰訊證實探勘技術可成功駭入Google Home,儘管SQLite釋出修補,且Google 升級Chrome,然SQLite幾乎深植全球IT設備,維護者也不便隨意改版更新,避免發生意外而無法復原,預判麥哲倫RCE威脅仍將糾纏軟體生態數年之久。
影響產品
解決辦法
相關連結
- https://blade.tencent.com/magellan/index_en.html
- https://www.zdnet.com/article/sqlite-bug-impacts-thousands-of-apps-including-all-chromium-based-brow
- https://news.ycombinator.com/item?id=18685296
- https://securityaffairs.co/wordpress/78920/hacking/magellan-rce-flaw-in-sqlite-potentially-affects-b
- https://worthdoingbadly.com/sqlitebug/
- https://thehackernews.com/2018/12/sqlite-vulnerability.html
- https://developers.google.com/web/tools/lighthouse/audits/web-sql
- https://www.sqlite.org/releaselog/3_26_0.html
- https://www.sqlite.org/about.html
- https://www.sqlite.org/prosupport.html
- https://blade.tencent.com/magellan/index.html
- https://github.com/zhuowei/worthdoingbadly.com/blob/master/_posts/2018-12-14-sqlitebug.html
- https://chromium.googlesource.com/chromium/src/+/c368e30ae55600a1c3c9cb1710a54f9c55de786e
- https://zh.wikipedia.org/wiki/SQLite
- https://upload.wikimedia.org/wikipedia/commons/thumb/3/38/SQLite370.svg/199px-SQLite370.svg.png