Vulnerabilidad crítica (de 4 años) y parche para Oracle
Oracle inicialmente se había negado a reconocer una vulnerabilidad crítica descubierta en su producto insignia, pero finalmente la empresa ha enviado a sus clientes la alerta identificada como CVE-2012-1675 con el anuncio de la vulnerabilidad y el parche para "TNS Listener Poison Attack" que afecta a la base de datos Oracle.
Oracle recomienda aplicar este parche de seguridad tan pronto como sea posible y argumenta haber solucionado el problema pero sin embargo el investigador de seguridad Joxean Koret dijo que la solución no cubre versiones anteriores del producto.
Joxean Koret publicó que prácticamente todas las versiones del servidor de base de datos Oracle lanzado en los últimos 13 años, contienen un error que permite a los atacantes realizar ataques Man-in-the-Middle y poder controlar todos los datos que pasan entre el servidor y los usuarios finales que están conectados a la base de datos.
La vulnerabilidad "TNS Listener Poison Attack" reside en el protocolo Transparent Network Substrate Listener, que permite la conexión entre los clientes y el servidor de base de datos. Koret dijo que Oracle sabe del error desde 2008 y que no tenía planes para solucionar las versiones actuales de los productos, debido que estaba preocupado por las "regresiones" en el código fuente.
"Se trata de una vulnerabilidad 0-day sin parche", escribió Koret en un post publicado el jueves a la lista de seguridad Full-Disclosure. "Oracle se niega a arreglar la vulnerabilidad en la versiones existentes y se niega a dar detalles sobre qué versión tendrá el parche". En un intercambio de correos publicado por Koret indican que Oracle decidió no parchar la falla en versiones ya existentes de su producto debido a que la solución podría causar problemas de desempeño para los usuarios.
Koret le dijo a Ars que le preocupa que la vulnerabilidad pueda ser objeto de ataques después de que él "inadvertidamente" dio a conocer detalles del bug y una PoC. Sólo después de Koret publicó sus detalles, se enteró de que el error no había sido eliminado de todas las versiones de Oracle.
TNS Listener es conocido desde por lo menos 1999, con la publicación de la versión 8i de Oracle. Mediante el envío de una simple consulta al servicio, un atacante puede secuestrar las conexiones que los usuarios legítimos hayan establecido con la base de datos, sin la necesidad de una contraseña o autenticación. A partir de entonces, los datos que viajan entre los usuarios legítimos y el servidor pasarán a través de la conexión creada por el atacante.
El atacante puede obtener todos los datos intercambiados entre el servidor de base de datos y los equipos cliente y puede utilizar la conexión para enviar comandos al servidor para agregar, eliminar o modificar datos. Los atacantes podrían explotar el fallo para instalar rootkits y controlar el servidor.
En los servidores que ejecutan Microsoft Windows, la base de datos de Oracle se ejecuta con permisos del sistema local, dando a un atacante el control significativo. Los sistemas basados en Unix tienen un mayor control, pero los atacantes podrían explotar otras vulnerabilidades para elevar sus privilegios.
TNS Listener también se puede configurar para escuchar conexiones a través de Internet. Esto hace posible que la vulnerabilidad pueda ser aprovechada de forma remota a través de Internet. Afortunadamente, tales configuraciones son raras.
La falta de una solución se veía agravada por la divulgación involuntaria de Koret sobre las instrucciones detalladas para la explotación de la vulnerabilidad. El mensaje inicial de Koret incluye una lista de "posibles soluciones".
En la tarde del lunes, Oracle lanzó su propia lista de medidas de mitigación e instó encarecidamente a los clientes para ponerlas en práctica de inmediato, pero en todo caso se recomienda parchear.
Fuente: ArsTechnica
Oracle recomienda aplicar este parche de seguridad tan pronto como sea posible y argumenta haber solucionado el problema pero sin embargo el investigador de seguridad Joxean Koret dijo que la solución no cubre versiones anteriores del producto.
Joxean Koret publicó que prácticamente todas las versiones del servidor de base de datos Oracle lanzado en los últimos 13 años, contienen un error que permite a los atacantes realizar ataques Man-in-the-Middle y poder controlar todos los datos que pasan entre el servidor y los usuarios finales que están conectados a la base de datos.
La vulnerabilidad "TNS Listener Poison Attack" reside en el protocolo Transparent Network Substrate Listener, que permite la conexión entre los clientes y el servidor de base de datos. Koret dijo que Oracle sabe del error desde 2008 y que no tenía planes para solucionar las versiones actuales de los productos, debido que estaba preocupado por las "regresiones" en el código fuente.
"Se trata de una vulnerabilidad 0-day sin parche", escribió Koret en un post publicado el jueves a la lista de seguridad Full-Disclosure. "Oracle se niega a arreglar la vulnerabilidad en la versiones existentes y se niega a dar detalles sobre qué versión tendrá el parche". En un intercambio de correos publicado por Koret indican que Oracle decidió no parchar la falla en versiones ya existentes de su producto debido a que la solución podría causar problemas de desempeño para los usuarios.
Koret le dijo a Ars que le preocupa que la vulnerabilidad pueda ser objeto de ataques después de que él "inadvertidamente" dio a conocer detalles del bug y una PoC. Sólo después de Koret publicó sus detalles, se enteró de que el error no había sido eliminado de todas las versiones de Oracle.
TNS Listener es conocido desde por lo menos 1999, con la publicación de la versión 8i de Oracle. Mediante el envío de una simple consulta al servicio, un atacante puede secuestrar las conexiones que los usuarios legítimos hayan establecido con la base de datos, sin la necesidad de una contraseña o autenticación. A partir de entonces, los datos que viajan entre los usuarios legítimos y el servidor pasarán a través de la conexión creada por el atacante.
El atacante puede obtener todos los datos intercambiados entre el servidor de base de datos y los equipos cliente y puede utilizar la conexión para enviar comandos al servidor para agregar, eliminar o modificar datos. Los atacantes podrían explotar el fallo para instalar rootkits y controlar el servidor.
En los servidores que ejecutan Microsoft Windows, la base de datos de Oracle se ejecuta con permisos del sistema local, dando a un atacante el control significativo. Los sistemas basados en Unix tienen un mayor control, pero los atacantes podrían explotar otras vulnerabilidades para elevar sus privilegios.
TNS Listener también se puede configurar para escuchar conexiones a través de Internet. Esto hace posible que la vulnerabilidad pueda ser aprovechada de forma remota a través de Internet. Afortunadamente, tales configuraciones son raras.
La falta de una solución se veía agravada por la divulgación involuntaria de Koret sobre las instrucciones detalladas para la explotación de la vulnerabilidad. El mensaje inicial de Koret incluye una lista de "posibles soluciones".
En la tarde del lunes, Oracle lanzó su propia lista de medidas de mitigación e instó encarecidamente a los clientes para ponerlas en práctica de inmediato, pero en todo caso se recomienda parchear.
Fuente: ArsTechnica
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!