domingo, 2 de fevereiro de 2014

Vulnerabilidades em Oracle Server


Há mais de 2 anos foi afirmado duas críticas vulnerabilidades contidas no servidor Oracle. Falhas que afetam pacotes antigos do Banco de Dados do Oracle, que libera ao atacante acessar remotamente um mecanismo de autenticação passando pelo servidor. Se o atacante explorar bem as falhas o atacante consegue navegar tranquilamente no sistema de todos os arquivos do servidor.
Mesmo a falha tendo sido passada para que possam ser fixados, não tomaram nenhuma providência quanto à isto. Dana Taylor reportou uma falha na autenticação que afeta o Oracle Form e os Reports 10g e 11g. Nesta falha, sem autenticação, dará ao atacante a total passagem para que possa conseguir a lista de senhas da DB, essa possibilidade de acesso também inclui na antiga falha. À respeito destas graves falhas sendo capaz de ser afetado também pela falha antiga o que a Oracle afirma é ter ocorrido algum erro de configuração. Agora com esta nova falha, ainda mais grave permitindo bem mais privilégios, na qual permite visualizar e copiar o sistema de arquivos do servidor, qualquer arquivo que a Oracle conta pode acessar e executar outras operações no servidor e rede de despejo. Também neste caso o pesquisador informou que a falha para Oracle, que mais uma vez rejeitado é como um erro de configuração.

"Como você pediu, revimos seu relatório original e teve discussões adicionais com nosso grupo de desenvolvimento. Concluímos que esta questão de fato constituem uma vulnerabilidade," - Responde Oracle

Quando de fato, Taylor disse que iria divulgar as falhas, Oracle finalmente aceitou possuir uma falha e dentro de menos de 1 ano, lançaram uma atualização, porém... ainda não corrige as vulnerabilidades.


"Sim, absolutamente. Quando eu relatei a vulnerabilidade analisada consulta disseram que não era uma vulnerabilidade, mas um erro de configuração. Então contei-lhes tudo bem, então eu vou publicar isso. Eles voltaram no mesmo dia e afirmarando que na verdade, 'é uma vulnerabilidade' e me deu um número de rastreamento. Do que eu posso dizer, eles realmente não corrigiram esta vulnerabilidade mas é ofuscado, instruindo os clientes para desativar "saída de diagnóstico". Eu testei isso em seu mais recente lançamento de relatórios Weblogic/Oracle 11g. A vulnerabilidade existe ainda. Alguns clientes podem não ser capazes de desabilitar a saída de diagnóstico para uma razão ou outra e ainda podem estar vulneráveis. E para esclarecer, isso não afeta apenas 11g mas 9i para 11g," - disse Dana Taylor.

Atualização lançada, patch 11.x propondo soluções alternativas simples para versões mais antigas, sugerindo que clientes atualizar para versões mais recentes, a fim de se protegerem. Logo após que Taylor publicou um POC sobre as vulnerabilidades outros especialistas de segurança focado seus esforços para demonstrar as repercussões para os aproveitamentos das falhas, o pesquisador mencionou alguém que lhe enviou um vídeo que mostra um ataque usando baseia o utilizado de Shodan motor de busca para encontrar servidores vulneráveis e recuperar senhas.


"O autor do exploit e vídeo acima foi brilhante, mas ele me colocou em estado de choque ao ver o real impacto dessas vulnerabilidades em tão grande escala. Eu não queria liberar esses exploits e estava sob grande aflição em pensar nisso. Eu senti que eu não tive escolha, no entanto. Para "ver este vídeo não colocou um sorriso na minha cara mas me fez ciente de quão devastador essas vulnerabilidades são na verdade servidores Oracle frequentemente possuem chaves SSH que permitam o compartilhamento de dados entre outros servidores Oracle confiáveis e não exigem nenhuma senha. Então, se você quebrar em um servidor Oracle em uma rede é provável capaz de quebrar em inúmeros outros. Para Windows servidores explorando 'passar os ataques hash' estão sendo discutidos. Outra coisa que é assustador é que, uma vez que você ganhar um shell remoto em um servidor Oracle você pode usar sqlplus.sh /nolog para obter privilégios sysdba para o banco de dados." - Taylor.

Nenhum comentário:

Postar um comentário