Tiết lộ kỹ thuật tấn công Oracle mới

Chuyên gia nghiên cứu bảo mật David Litchfield mới đây đã công bố chi tiết một kỹ thuật tấn công mới có thể giúp hacker đoạt được quyền truy cập vào cơ sở dữ liệu Oracle.

Trong một cuộc trả lời phỏng vấn báo chí ngày hôm 24/4, chuyên gia Litchfield cho biết kỹ thuật tấn công này – được đặt tên là Lateral SQl Injection – có thể cho phép tin tặc đoạt được quyền truy cập cấp độ quản trị (administrator) vào máy chủ Oracle.

Để tấn công, hacker chỉ cần lập trình một từ khóa tìm kiếm riêng để điều khiển cơ sở dữ liệu chạy các lệnh SQL. Trước đây các chuyên gia bảo mật cho rằng kỹ thuật SQL Injection chỉ có tác dụng nếu như hacker có thể chèn thêm các chuỗi ký tự vào trong cơ sở dữ liêu. Litchfield đã trình diễn cho thấy kỹ thuật tấn công này có thể được sử dụng bằng cách sử dụng các loại dữ liệu như ngày tháng hoặc số.

Mục tiêu kỹ thuật tấn công của Litchfield là ngôn ngữ lập trình Procedural Language/SQL ưa thích của các nhà phát triển cơ sở dữ liệu Oracle.

Litchfield không chắc chắn về mức độ phổ biến của các lỗi bảo mật Lateral SQL Injection nhưng chuyên gia bảo mật này khẳng định các lỗi bảo mật này thực sự có thể bị lợi dụng để gây ra những thiết hại đáng kể.

Các nhà lập trình cơ sỡ dữ liệu được khuyến cáo nên kiểm tra lại mã nguồn ứng dụng nhằm bảo đảm mọi thủ tục xử lý đều an toàn không thể bị chèn thêm các lệnh SQL.

Oracle chưa có bất kỳ bình luận nào về thông tin trên đây.