Phát hiện lỗ hổng trong tính năng Data Redaction của Oracle

Oracle vừa tung ra tính năng Data Redaction security trong cơ sở dữ liệu Oracle 12c. Nhưng tính năng này có thể dễ dàng bị kẻ tấn công phá vỡ mà không cần sử dụng mã khai thác.

Phát hiện lỗ hổng trong tính năng soạn thảo dữ liệu của Oracle

Data Redaction là một trong những tính năng bảo mật nâng cao mới được đưa vào cơ sở dữ liệu Oracle 12c. Dịch vụ này được thiết kế để cho phép các quản trị viên tự động bảo vệ dữ liệu nhạy cảm, như số thẻ tín dụng và các dữ liệu ẩn khác.

David Litchfield – một nhà nghiên cứu về an ninh mạng đã tìm thấy hàng chục lỗ hổng nghiêm trọng trong các sản phẩm của Oracle. Với một cái nhìn cận cảnh về tính năng Data Redaction này, anh ta tìm thấy một loạt các lỗ hổng có thể khai thác mà thậm chí không cần thực thi các mã khai thác.

David Litchfield là một chuyên gia an ninh tại Datacomm TSS và là tác giả của cuốn sách “The Oracle Hacker’s Handbook”. Trong nhiều năm, anh là một trong những thợ săn lỗ hổng hàng đầu trong các cuộc thi và các sản phẩm cơ sở dữ liệu của Oracle.

Litchfield cho biết trong cuộc nói chuyện tại hội nghị Black Hat USA 2014 rằng tính năng Data Redaction thực sự là một ý tưởng tuyệt vời. Nhưng không may, các tính năng như vậy lại bị dính các lỗ hổng bảo mật cơ bản, thậm chí là tầm thường cho những kẻ tấn công. Litchfield sau đó đã đưa ra một số phương pháp khắc phục của những sai sót trong tính năng Data Redaction của Oracle.

Phương pháp đầu tiên là sử dụng câu lệnh “RETURNING INTO” sau một DML operation. Điều khoản này cho phép dữ liệu được trả về một biến – một thất bại lớn của Oracle mà Litchfield nói có thể được sử dụng để truy cập trái phép vào các Data Redaction Oracle. Lỗi này được phát hiện qua một cuộc kiểm thử nghiệm thâm nhập. Phương pháp thứ hai bản chất là một cuộc tấn công bruteforce vào các dữ liệu trong một cột redacted của cơ sở dữ liệu .

Các sai sót trong Data Redaction đã được vá, nhưng Litchfield cho biết gần đây đã gửi cho Oracle một lỗi nghiêm trọng và chưa được vá, lỗi này cho phép một người sử dụng kiểm soát được các cơ sở dữ liệu trên máy chủ. Điều này cho thấy các vấn đề bảo mật của Java vẫn còn tồn tại.

Theo THN

Bình luận

Từ khóa: