Pesquisador interpreta mal o Oracle Advisory, revela vulnerabilidade de banco de dados sem patch

As instruções sobre como explorar uma vulnerabilidade do Oracle Database Server sem correção para interceptar as informações trocadas entre clientes e bancos de dados foram publicadas por um pesquisador de segurança que erroneamente pensava que a empresa corrigira a falha. O comunicado de atualização de abril de 2012 da Oracle, divulgado em 17 de abril, creditou o pesquisador de segurança Joxean Koret a uma vulnerabilidade relatada pela firma de inteligência cibernética iSIGHT Partners.

Em um e-mail enviado à lista de discussão Full Disclosure em 18 de abril revelou que a vulnerabilidade está localizada no Oracle TNS Listener, um componente Este programa direciona conexões de clientes para servidores de banco de dados Oracle, dependendo do banco de dados que está tentando acessar.

[Leitura adicional: Como remover malware do seu PC com Windows]

O TNS Listener possui um recurso padrão, introduzido em 1 . permite que os clientes registrem remotamente um serviço de banco de dados ou instância de banco de dados sem autenticação, disse Koret.

O cliente envia uma solicitação de registro remoto ao TNS Listener e define um novo nome de serviço, seu endereço IP, as instâncias de banco de dados e outras configurações. O ouvinte do TNS então inicia o roteamento de todas as solicitações do cliente que incluem o nome do serviço ou a instância do banco de dados.

No entanto, o TNS Listener também permite o registro remoto de uma instância de banco de dados ou nome de serviço já registrado. "O ouvinte do TNS considerará esse nome de instância registrado mais recente como uma instância de cluster (Oracle RAC, Clusters de Aplicativo Real) ou uma instância de failover (Oracle Failover)", afirmou.

Nesse caso, o TNS Listener executa o balanceamento de carga entre as duas instâncias enviando o primeiro cliente para o mais recente e o segundo para o original. Isso permite que um invasor local rotear entre 50 e 75 por cento dos clientes para um servidor de banco de dados que ele controla, disse Koret.

O atacante pode usar o TNS Listener no servidor que ele controla para rotear as solicitações do cliente de volta ao legítimo Instância de banco de dados, efetivamente estabelecendo um proxy TNS que lhe permite interceptar todos os dados trocados entre clientes e o banco de dados de destino.

No entanto, esse não é o único cenário de ataque que essa vulnerabilidade permite. Por estar em uma situação man-in-the-middle, o atacante também pode injetar comandos desonestos nas consultas SQL enviadas por clientes ou seqüestrar completamente suas sessões para executar consultas arbitrárias, disse Koret.

O pesquisador mencionou que não fez isso. Teste se o patch da Oracle para essa vulnerabilidade, que ele acreditava estar incluído na CPU de abril de 2012, realmente corrigia todos os vetores de ataque.

No entanto, após alguns e-mails de follow-up com a Oracle, ele percebeu que a empresa não tinha Na verdade, corrigiu a falha para as versões atualmente suportadas do servidor de banco de dados, mas a endereçou em uma versão ainda a ser lançada.

A Oracle decidiu corrigir a falha em uma versão futura, mas não nas já existentes, porque A correção é muito complexa e o backporting pode levar a outros problemas, disse Koret em um segundo e-mail enviado à lista de discussão da Full Disclosure na quinta-feira. A Oracle não retornou imediatamente uma solicitação de comentário.

A decisão de divulgar publicamente detalhes sobre a vulnerabilidade, incluindo instruções sobre como explorá-la, foi tomada após confirmar com a Oracle que a vulnerabilidade havia sido resolvida, disse Koret. No entanto, ele acrescentou que a empresa disse a ele que "foi corrigido em versões futuras do produto".

O pesquisador acredita que receber créditos no aviso de CPU da Oracle em abril de 2012 para uma vulnerabilidade que não foi corrigida na atualização foi enganosa. e disse que a empresa deveria parar de fazer isso no futuro.

No entanto, a Koret foi creditada na seção "Contribuintes com Profundidade de Segurança" do comunicado da Oracle que declara que: "As pessoas são reconhecidas por contribuições de Segurança Detalhada se fornecerem informações, observações ou sugestões relativas a problemas de vulnerabilidade de segurança que resultem em modificação significativa do código ou da documentação da Oracle em versões futuras, mas que não são de natureza crítica, pois são distribuídos nas Atualizações de Patch Crítico. "

A Koret descreveu várias soluções alternativas para atenuar a vulnerabilidade sem implantar um patch em seu aviso de 18 de abril. Uma delas era desativar o recurso de registro remoto do TNS Listener definindo "dynamic_registration = off" no arquivo de configuração do listener.ora.

No entanto, isso não é viável para configurações que realmente requerem o recurso, como os clusters do Oracle RAC. "Para aplicar essa solução alternativa com os ambientes do Oracle RAC, é necessário implementar o balanceamento de carga no lado do cliente, alterando todo o arquivo de configuração tnsnames.ora do cliente para adicionar a lista completa de nós do Oracle RAC", disse Koret.