Базы данных Oracle легко взломать

Специалисты доказали, что база данных Oracle может быть взломана при помощи брутфорса с использованием только имени базы данных и имени пользователя. Сотрудник компании AppSec Inc Эстебан Мартинез Файо (Esteban Martinez Fayo) напродемонстрировал свое открытие на конференции по безопасности в Аргентине и сказал, что в течение пяти часов на обычном ПК с помощью специальных инструментов он может взломать через легкие пароли и доступ к данным пользователей. "Это очень просто, – пишет специалист в одном из блогов. – Злоумышленнику достаточно знать имя пользователя и имя базы данных. Вот и все".

Исследователь говорит, что обнаружил изъяны в криптографической аутентификации по паролю Oracle, что позволяет пользоваться элементарным брутфорсом. По его словам, уязвимость не требует внедрения в действующую связку сервер-клиент, а получить доступ можно напрямую к серверу с данными.

Мартинез Файо отмечает, что его команда впервые рассказала Oracle об ошибках в мае 2010 года, и компания устранила их в 2011 году. Однако ошибки не исправлены в версиях 11.1 и 11.2, так что они по-прежнему уязвимы для атак. Недавно компания выпустила 12 версию своего продукта, но и там эта проблема не устранена.

Это уже не первый случай, когда в базах данных Oracle были обнаружены ошибки. В январе компания выпустила патч, который закрывает 78 ошибок, позволявших хакерам получать доступ к базам извне. В прошлом месяце в последнем 7 обновлении Java Oracle была обнаружена ещё одна ошибка, которая позволяет выполнять произвольный код.

По словам Мартинеза Файо, обойти этот изъян можно, но для этого нужно отключить версии протокола 11.1 и начать использовать старые версии 10 поколения, где данной уязвимости нет. Как он утверждает, "это жизненно важно для организаций, где имеются базы данных Orcale и указанные уязвимости присутствуют. Для этого необходимо усилить защиту с целью недопущения утечки данных".