Cơ sở dữ liệu Oracle có thể bị tấn công

Cơ sở dữ liệu Oracle đang phải đối mặt với một tấn công nguy hiểm mới và nghiêm trọng hơn, một nhà nghiên cứu đã cảnh báo như vậy trong khi diễn thuyết tại cuộc hội thảo của Black Hat.

Trong một bài báo đã được dự định thảo luận vào hôm thứ Tư tại cuộc hội thảo Black Hat DC 2007, nhà nghiên cứu về bảo mật danh tiếng David Litchfield đã cho rằng có một phương pháp tấn công mới chống lại cơ sở dữ liệu Oracle, phương pháp này có thể làm nguy hại đến các hệ thống chưa vá.

Litchfield, giám đốc quản lý của NGSSoftware Anh (Next Generation Security Software), người đã phát hiện ra phương pháp để khai thác các lỗ hổng trong cơ sở dữ liệu Oracle mà không cần nâng quyền hệ thống. Phương thức mới này, ông gọi là Cursor Injection: Một phương pháp mới cho Exploiting PL/SQL Injection và Potential Defences (download PDF), tăng rủi ro trong lỗi của Oracle.

Litchfield phát biểu: “Có lần, Oracle trong các cảnh báo của họ đã tuyên bố rằng hoàn toàn có khả năng tạo một thủ tục hoặc một hàm được yêu cầu cho kẻ tấn công có thể khai thác một lỗ hổng. Đây không phải là trường hợp duy nhất, mà tất cả các lỗ hổng SQL injection đều có thể bị khai thác triệt để mà không cần bất kỳ đặc quyền hệ thống nào hơn CREATE SESSION và do vậy rủi ro sẽ không bao giờ giảm”.

Kỹ thuật mới này không phụ thuộc vào một lỗ hổng và áp dụng tới tất cả các phiên bản của Oracle. Quan trọng hơn, hãng Symantec đã nói trong ngày hôm qua, phương pháp này lợi dụng sự sơ hở trong cách phân tích mà Oracle đã sử dụng và đã đánh giá thấp các mối đe dọa.

Hãng Symantec cũng đã nói trong cảnh báo của hãng này với các khách hàng: “Trong quá khứ, Oracle cũng đã cho rằng một lỗ hổng sẽ không thể bị khai thác nếu một kẻ tấn công không thể tạo một thủ tục hoặc một hàm. Nhưng điều đó mới chỉ dừng lại trong các cuộc tranh luận, việc khai thác là có thể thậm chí khi gặp hạn chế đặc quyền này.”

Sự đáp trả của Oracle không xác nhận cũng không hạn chế rằng phương pháp của Litchfield quan trọng như thế nào. Bài báo 'Cursor Injection' của NGSSoftware đã miêu tả một kỹ thuật có thể hỗ trợ kẻ tấn công khai thác các lỗ hổng SQL injection. Một phát ngôn viên đã nói như vậy trong một email.

Việc sửa các lỗ hổng SQL injection đã được thảo luận trong bài báo vào tháng 10 năm 2006 Critical Patch Update (CPU), ông còn nói thêm: “Để ngăn chặn kẻ tấn công dựa vào các phương pháp được miêu tả trong bài báo, Oracle phải khuyên các khách hàng áp dụng bản vá (CPU) mới nhất, mặc dù vậy đây không phải là biện pháp chống lại phương pháp tấn công mới mà chỉ là các lỗ hổng đã được biết.”

Lỗ hổng này tồn tại không lâu vì Oracle đã sử dụng kỹ thuật ‘cursor injection’ của Litchfield để vá lại. Theo Symantec, ít nhất có đến bốn vấn đề mà các sản phẩn quan trọng của Oracle đã cập nhật vào ngày hôm qua để bảo vệ trước lỗi bảo mật mới này.