ЛАС-ВЕГАС. Если внимательно прочитать инструкцию по настройке безопасности к Oracle E-Business Suite 11i (EBS), то можно наткнуться на интересную вещь — с точки зрения разработчиков, уязвимостей внедрения SQL-кода якобы не существует.

«Несмотря на большое число отчетов об обнаружении подобного рода багов, мы не смогли подтвердить ни одного реального случая внедрения SQL-кода», — говорится в инструкции.

«Подобное заявление словно красная тряпка для быка», — заявил Дэвид Литчфилд (David Litchfield), багхантер, специализирующийся на поиске уязвимостей в продукции Oracle.

Во время своего выступления на Black Hat USA он поделился результатами своего исследования, в ходе которого он обнаружил, что эта СУБД не только содержит десятки брешей, чреватых внедрением SQL-кода, но и уязвима для DoS- и XSS-атак, обхода каталогов и других видов вредоносного воздействия.

«Это крайне крупный продукт, обладающий при этом колоссальной поверхностью атаки, — отметил Литчфилд. — Основная идея моего исследования в том, чтобы изучить продукт и предложить действенные решения по снижению поверхности атаки».

Для осуществления этой цели эксперт занялся поиском уязвимостей в EBS версий 11.5 и 12.2, и, надо сказать, это оказалось не самой простой задачей.

По его словам, приступив к работе в ноябре прошлого года, он изучил около 15 тыс. JSP-страниц (JavaServer Page), а также провел анализ сервера баз данных, сервера управления параллельными процессами и модуля PL/SQL Gateway (упраздненного в версии 12).

«Я обнаружил богатый источник уязвимостей, — заявил эксперт. — Там множество лазеек, которые атакующий сможет использовать для проникновения».

Литчфилд представил отчеты о 50 (именно такую самоцель поставил себе исследователь) обнаруженных им за неделю уязвимостях в 11i, среди которых присутствуют 21 SQLi-брешь и 26 XSS-багов.

«Для устаревшего продукта это совсем плохие показатели, — отметил он. — Этот продукт был выпущен еще в 2001 году, и очень странно, что за все это время уязвимости так и не были устранены. Представители Oracle заявляют, что у них используются надежные методики по обеспечению безопасности, однако я считаю, что правдивость подобных заявлений находится под большим вопросом».

За 80 часов, которые исследователь потратил на поиск уязвимостей в 12.x, он обнаружил куда меньшее число багов: восемь брешей внедрения SQL-кода, два бага Java-десериализации, раскрытие куки и несколько других уязвимостей, некоторые из которых были закрыты в недавнем обновлении.

«Уязвимости внедрения SQL-кода являются наиболее критичными, поскольку они позволяют полностью скомпрометировать сервер баз данных и всю хранящуюся на нем информацию, при этом не нужно знать ни логина, ни пароля, — отметил Литчфилд. — Атакующему даже не нужно разбираться в устройстве EBS — достаточно иметь базовые представления о том, как провести SQLi-атаку».

Эксперт представил список действий, позволяющих существенно сократить поверхность атаки. К примеру, из 15 тыс. потенциально уязвимых JSP-страниц активно используется лишь менее 200 — если удалить ненужные, то поверхность атаки сократится на 99,99%.

«Стоит отметить, что и из этих 200 JSP-страниц некоторые все равно уязвимы для внедрения SQL-кода, но эту проблему мы уже решили своими силами, — заявил Литчфилд. — Те JSP, к которым не требуется постоянный доступ, стоит удалить, а также провести глубокий поиск уязвимостей и принять соответствующие меры к их устранению».

Категории: Уязвимости