24 juli 2009
Op de Black Hat conferentie die vanaf morgen in Las Vegas wordt gehouden, zal Chris Gates een presentatie houden die hij 'Breaking the Unbreakable Oracle' heeft genoemd. Daarin gaat hij de Metasploit tool onthullen waarmee iedereen een Oracle databases binnen kan komen. Al in februari liet Gates in een video zien hoe de aanval in zijn werk gaat. Metasploit is een open source project dat informatie verstrekt aan mensen die penetratietests uitvoeren, ontwikkelen aan IDS signature en onderzoek doen naar exploits. De tools die op de site staan zijn alleen bedoeld voor onderzoek en tests, maar niemand kan ander, meer malafide gebruik voorkomen. De tool die nu wordt onthuld, kan door iedereen zonder enige kennis van zaken worden gebruikt. Oracle heeft al wel patches uitgebracht die het lek dichten dat door de tool wordt gebruikt. Maar het is bekend dat Oracle niet eenvoudig te patchen is. Het installeren van Oracle-patches op productiessystemen is een complexe en tijdrovende zaak, waarmee behoorlijk wat downtime is gemoeid. Daardoor wordt het voor het gemak vaak overgeslagen.
Gates zegt zelf dat hij 'did not contact Oracle about my presentation because none of the exploits or exploitation methods are new and information about ways to mitigate the attacks have been public for some time'. En hij vervolgt: 'If administrators haven't applied the patches, then the databases were/are vulnerable. Plenty of other tools exist to do exactly what we are releasing. These tools just help streamline the penetration testing process'. Gates is lid van Metasploit, een open source platform voor het ontwikkelen, testen en gebruiken van 'exploit code' en het verspreiden van informatie gerelateerd aan kwetsbaarheden. 'Over the years there have been tons of Oracle exploits, SQL Injection vulnerabilities, and post exploitation tricks and tools that had no order, methodology, or standardization, mainly just random .sql files. Additionally, none of the publicly available Pentest Frameworks have the ability to leverage built-in package SQL Injection vulnerabilities for privilege escalation, data extraction, or getting operating system access', zo staat in de samenvatting van de presentatie. 'We've created your version and SID enumeration modules, account bruteforcing modules, ported all the public (and not so public) Oracle SQL Injection vulnerabilities into SQLI modules (with IDS evasion examples for 10g/11g), modules for OS interaction, and modules for automating some of our post exploitation tasks'. Oracle heeft nog geen commentaar gegeven. De patches die uitgebracht zijn voorkomen de hack, maar als bedrijven ze niet toepassen dan is de detabase zeer onveilig. Gates zei dat 'this is the first Metasploit program to target Oracle's database'. 'There is no way to keep these tools out of the hands of people who want to use them for nefarious purposes', zegt Alan Paller, onderzoeksdirecteur bij het SANS Institute. 'Security testers and hackers have previously used other programs to break into Oracle databases, but the new software from Metasploit is easier to operate and runs more quickly than existing options', zo stelt Gates. Installeer de patches dus.