Computerbeveiliging - Hoe je bad guys buiten de deur houdt

0day: Oracle DB TNS poison (proxy/mitm attack)

29-04-2012, 17:37 door Bitwiper, 3 reacties
Eerder deze maand heeft Oracle patches gepubliceerd (zie http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html). Daarin bedankt Oracle onder andere Joxean Koret voor het melden van een kwetsbaarheid.

Na communicatie met Oracle heeft Joxean Koret zijn bevindingen gepubliceerd, onder andere hier: http://lists.grok.org.uk/pipermail/full-disclosure/2012-April/086579.html. Pas daarna bleek dat de betreffende kwetsbaarheid slechts in toekomstige versies van de Oracle database zal worden verholpen!

Zoals te lezen is in een update van Joxean Koret: http://lists.grok.org.uk/pipermail/full-disclosure/2012-April/086718.html zijn alle versies van Oracle (8i uit 1999 t/m 11g) kwetsbaar en is er geen patch beschikbaar. Het dringende advies is dan ook om alternatieve maatregelen toe te passen.

De essentie van de kwetsbaarheid is dat een aanvaller met netwerktoegang tot de database server een load-balancing proxy -zonder authenticatie- kan aanmelden via een TNS (Transparent Network Substrate) listener proces dat by default luistert op TCP poort 1521 (er is enige stijging te zien in scans naar deze poort, zie http://isc.sans.edu/port.html?port=1521).

Indien er geen clustering wordt gebruikt, volstaat het aanpassen van het configuratiebestand "listener.ora" met:
dynamic_registration = off
Voor meer info zie bijv. (Engelstalig) http://www.h-online.com/security/news/item/Oracle-databases-vulnerable-to-injected-listeners-1563150.html of (Duitstalig) http://www.heise.de/security/meldung/Oracle-Datenbanken-anfaellig-fuer-eingeschleuste-Lauscher-1563022.html.
Reacties (3)
01-05-2012, 16:38 door Bitwiper
Update: http://isc.sans.edu/diary/Patch+for+Oracle+TNS+Listener+issue+released+/13093 vermeldt dat Oracle nu zelf ook workaround instructies heeft gepubliceerd, zo te zien slechts toegankelijk voor personen met een Oracle account.

Diezelfde SANS pagina vermeldt tevens dat er een video met een POC is gepubliceerd.

Advies: check of poort 1521 van Oracle database servers toegankelijk is voor niet vertrouwde servers/werkstations (hopelijk niet het hele internet). Neem zonodig maatregelen!
01-05-2012, 21:29 door Anoniem
De gebruikte code in die video met een handleiding in Acrobat staat op:
http://www.joxeankoret.com/download/tnspoison.zip
http://www.joxeankoret.com/download/tnspoison.pdf

CVE-2012-1675 Oracle Database TNS Poison 0Day is hier te vinden:
https://blogs.oracle.com/security/entry/security_alert_for_cve_2012
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
02-08-2012, 21:40 door Anoniem
My Oracle Support Note 1453883.1 for Oracle Database deployments that do not use RAC
https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1

http://oradbastuff.blogspot.nl/2012/05/secureregisterlistener.html
http://olegon.ru/archive/index.php/t-12378.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search