Pesquisador descobre falha em banco de dados Oracle
De acordo com Esteban Martinez, hacker pode usar vulnerabilidade para recuperar e alterar dados armazenados.
Alguns bancos de dados Oracle têm o que os especialistas dizem ser uma falha grave no sistema de login que um hacker pode usar para recuperar e alterar dados armazenados.
A falha, identificada no Oracle Database 11g, versões 1 e 2, deixa o token fornecido pelo servidor aberto a um ataque de força bruta antes que a autenticação seja concluída, afirma Esteban Martinez Fayo, pesquisador de segurança de aplicativos que descobriu a vulnerabilidade. Se for bem-sucedido, um atacante pode obter acesso ao banco de dados.
Fayo descobriu o problema depois de perceber que o cliente e o servidor tratavam logins com senhas incorretas de forma diferente. Um exame mais detalhado levou à descoberta. "Um desvio de autenticação é muito grave", observa Kevin Mitnick, conhecido hacker e fundador da Mitnick Security Consulting. "Basicamente, um atacante pode chegar aos dados armazenados no banco de dados, e até mesmo mudá-los."
A vulnerabilidade decorre da maneira como o protocolo de autenticação protege as chaves de sessão. Quando um cliente conecta-se ao servidor de banco de dados, uma chave de sessão é enviada. Como isso acontece antes de o processo de autenticação ser concluído, um hacker trabalhando remotamente pode ligar a chave a um hash de senha específica.
A CSO nos Estados Unidos contatou a Oracle, que não respondeu a um pedido de comentário. A empresa corrigiu a falha na última atualização do protocolo de autenticação, a versão 12. No entanto, não está planejando um patch para a versão defeituosa, a 11.1, afirma Fayo. Mesmo com a atualização, os administradores de banco de dados têm de configurar o servidor para permitir apenas a nova versão do protocolo.
Brent Huston, presidente-executivo da empresa de testes de segurança MicroSolved, aponta que devido à vulnerabilidade, os clientes que não tenham atualizado seus bancos de dados terão de implementar alguma forma de proteção, especialmente se eles estão sujeitos a fiscalização pelos órgãos reguladores.
Últimas Notícias
Sua empresa está preparada para a era da Economia dos Algoritmos?
Gartner afirma que modelo emergente conduzirá o mundo ao próximo grande sal...
Ingram Micro adquire distribuidora brasileira Ação Informática
Transação, sujeita às condições regulatórias e outras premissas de fechamen...
IoT será uma questão de vida ou morte para os profissionais de segurança
Gartner afirma que o avanço da Internet das Coisas fará a transição do main...
90% dos dispositivos Android são vulneráveis a ataques, aponta pesquisa
Levantamento da Universidade de Cambridge mostra que aparelhos Nexus, LG e...
Dez pontos que todo bom gestor deve considerar
Eles ajudam a equilibrar conhecimento técnico e de negócios com uma boa cap...
Como a IoT irá mudar o relacionamento na prestação de serviço ao cliente?
Dentro de alguns anos, o serviço prestado ao cliente estará tão mudado que...
