Pesquisador descobre falha em banco de dados Oracle
De acordo com Esteban Martinez, hacker pode usar vulnerabilidade para recuperar e alterar dados armazenados.
Alguns bancos de dados Oracle têm o que os especialistas dizem ser uma falha grave no sistema de login que um hacker pode usar para recuperar e alterar dados armazenados.
A falha, identificada no Oracle Database 11g, versões 1 e 2, deixa o token fornecido pelo servidor aberto a um ataque de força bruta antes que a autenticação seja concluída, afirma Esteban Martinez Fayo, pesquisador de segurança de aplicativos que descobriu a vulnerabilidade. Se for bem-sucedido, um atacante pode obter acesso ao banco de dados.
Fayo descobriu o problema depois de perceber que o cliente e o servidor tratavam logins com senhas incorretas de forma diferente. Um exame mais detalhado levou à descoberta. "Um desvio de autenticação é muito grave", observa Kevin Mitnick, conhecido hacker e fundador da Mitnick Security Consulting. "Basicamente, um atacante pode chegar aos dados armazenados no banco de dados, e até mesmo mudá-los."
A vulnerabilidade decorre da maneira como o protocolo de autenticação protege as chaves de sessão. Quando um cliente conecta-se ao servidor de banco de dados, uma chave de sessão é enviada. Como isso acontece antes de o processo de autenticação ser concluído, um hacker trabalhando remotamente pode ligar a chave a um hash de senha específica.
A CSO nos Estados Unidos contatou a Oracle, que não respondeu a um pedido de comentário. A empresa corrigiu a falha na última atualização do protocolo de autenticação, a versão 12. No entanto, não está planejando um patch para a versão defeituosa, a 11.1, afirma Fayo. Mesmo com a atualização, os administradores de banco de dados têm de configurar o servidor para permitir apenas a nova versão do protocolo.
Brent Huston, presidente-executivo da empresa de testes de segurança MicroSolved, aponta que devido à vulnerabilidade, os clientes que não tenham atualizado seus bancos de dados terão de implementar alguma forma de proteção, especialmente se eles estão sujeitos a fiscalização pelos órgãos reguladores.
Últimas Notícias
Falamos muito sobre a Indústria 4.0. E a sociedade ? O que fazer para torna-lá 4.0 ?
O termo Indústria 4.0 nos últimos anos está cada vez mais em nosso dia a di...
Inicialmente, Lei de Proteção de Dados trará ônus para o Marketing Digital
Mas, no longo prazo, também oferecerá vantagens competitivas e oportunidade...
10 principais tecnologias emergentes de 2018, segundo o WEF
Nesta lista, os especialistas procuram identificar os avanços que surtirão...
Segurança cibernética: ativo intangível e diferencial competitivo
Área é cada vez mais essencial para o mundo corporativo, tanto por evitar c...
O que esperar quando a internet recebe um grande upgrade de segurança?
Chaves mais seguras para o sistema DNS estão prontas, mas para quem usa ser...
