Se descubre una nueva técnica de ataque contra las bases de datos Oracle

David Litchfield, reconocido investigador sobre seguridad especializado en bases de datos, participará en la conferencia Black Hat DC 2007 exponiendo las conclusiones de un informe en el que describe un nuevo método de ataque contra las bases de datos Oracle que pone en peligro cualquier sistema no parcheado.


Litchfield, director de la organización NGSSoftware (Next Generation Security Software), asegura haber encontrado una forma de explotar las vulnerabilidades de los sistemas Oracle sin necesidad de contar con privilegios de sistema. La táctica en cuestión, descrita en detalle en el documento “Cursor Injection: A New Method for Exploiting PL/SQL Injection and Potential Defences” (http://www.databasesecurity.com//dbsec/cursor-injection.pdf) incrementa el nivel de peligrosidad de muchos agujeros de seguridad descubiertos en las bases de datos Oracle.

”En ocasiones, Oracle ha asegurado en algunas alertas que es necesario que el atacante cuente con privilegios que le permitan crear procedimientos o funciones para poder explotar una vulnerabilidad la capacidad de crear un procedimiento o una función”, indica Litchfield en su informe. “Pero este no es el caso. Todos los fallos de inyección SQL pueden explotarse sin ningún privilegio de sistema, aparte de ´Crear Sesión´, y, en consecuencia, el peligro nunca debería ser clasificado como de bajo nivel en una alerta”.

La nueva técnica no afecta a una vulnerabilidad concreta y es aplicable a todas las versiones de Oracle. Y, lo que es más importante, según Symantec, deja en evidencia uno de los argumentos utilizados por Oracle para restar importancia a algunas amenazas.

Un portavoz de Oracle ha declarado que “los parches para las vulnerabilidades de inyección SQL descritas en el documento de Litchfield fueron incluidos en la actualización Critical Patch Update (CPU) de octubre de 2006”.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers