• Tweet

Una nueva técnica de ataque aumenta el riesgo de vulnerabilidades comúnmente encontradas en el software para base de datos de Oracle, advirtió un investigador de seguridad.

Con anterioridad se ha pensado que un intruso necesita privilegios de alto nivel en las base de datos para explotar las vulnerabilidades de inyección a PL SQL. Con esta nueva técnica de ataque, en verdad es menos largo el proceso, dijo el jueves en el evento de Black Hat DC David Litchfield, experto en seguridad de las base de datos de NGS Software.

"Es un recurso que puede ser utilizado por los intrusos con mínimos privilegios para poder obtener por completo el control del servidor de base de datos," Litchfield dijo en una entrevista." se podría utilizar el ataque en una gran cantidad de vulnerabilidades que se pensaba no eran tan importantes."

Litchfield, que ha trabajado con Oracle ya por un tiempo significativo, detalló la técnica, "Inyección al cursor," en un documento que fue publicado originalmente el fin de semana pasado y discutido en el evento. Ejemplos de código de ataque que toman ventaja del problema han empezado a aparecer, dijo Litchfield.

Oracle está consiente sobre la nueva técnica de ataque, dijo en una declaración gente de Oracle.

NGS Software's en un documento denominado “Curso de Injection SQL” describe una técnica que pueda ayudar a un intruso en la explotación de las vulnerabilidades de inyección de SQL," dijo el fabricante del software de base de datos. Oracle incita a sus clientes a aplicar parches que han proporcionado para corregir problemas ya conocidos.

En el pasado, los defectos de la inyección al PL SQL requirieron a menudo crear un procedimiento almacenado con privilegios en la base de datos, en donde la mayoría de los usuarios no tienen conocimiento. Usando la técnica de la inyección en cursores, cualquier persona que puede conectar con una base de datos puede explotar tales defectos, dijo Litchfield.

"Esto se consigue inyectando un Cursor pre-compilado en objetos vulnerables del PL SQL," escribió Litchfield en su documento. "La fuerza impulsada detrás de esta investigación es demostrar que todas las vulnerabilidades de inyección de SQL se pueden explotar completamente sin ningún privilegio del sistema con la excepción de contar con una sesión."

En el futuro, Oracle no debería listar las limitantes de privilegio como una limitante para explotar la falla de PL SQL, dijo Litchfield . Tales factores de disminución pueden conducir a clientes de Oracle a posponer la instalación del parche a la vulnerabilidad que los pone en riesgo, y dijo. Las "excusas para no parchar este defecto ahora se deben terminar," dijo Litchfield.

Oracle ha estado en desacuerdo con los investigadores de la seguridad por un par de años. Sin embargo, la compañía está cambiando y ha sido más sincera sobre el proceso de seguridad en sus productos. En enero, Oracle comenzó a ofrecer la notificación anticipadamente de sus lanzamientos trimestrales del remiendo de sus productos. En octubre, por primera vez incluyó los grados de severidad que tienen los defectos de sus productos.