Снова стало известно о проблемах, связанных с уязвимостями в Java Reflection API, обусловившими множество ИБ-инцидентов в 2013 году.

ИБ-специалисты из компании Security Explorations опубликовали подробный отчет о множестве критических уязвимостей в Java, притом в тот же день, когда вышел Critical Patch Update от Oracle — объемный квартальный релиз патчей для брешей во всех продуктах компании.

Глава Security Explorations Адам Говдяк (Adam Gowdiak) сообщил, что подверженные уязвимости API часто используются хакерами для обхода «песочницы» Java, где обычно анализируется и исполняется подозрительный код до того, как окажется в системе или приложении.

Говдяк ранее отмечал, что безопасность Java Reflection API, помогающего исследовать и модифицировать приложения в среде исполнения Java VM, зависит от решений вызывающего, которые можно подделать, если реализация Reflection некорректна. Oracle предупреждает в инструкциях к Java: «Этот API предназначен для профессионального использования разработчиками, которые хорошо разбираются в основах языка программирования Java. Reflection — очень мощный инструмент, которым нельзя пользоваться без разбора. Если какую-либо операцию можно осуществить без Reflection, лучше воздержаться от его использования».

Исследователь подтвердил, что PoC-эксплойты, которые были разработаны его командой и предоставлены разработчикам из Oracle, не только открывают возможность для удаленного исполнения кода, но и позволяют повысить привилегии, с которыми хакер может получить административный доступ к Oracle Database. PoC-эксплойты, по словам Говдяка, сработали против Oracle Database 11g и 12c, работающих под 64-разрядной версией Windows, Linux x86/x86 64-bit и Solaris x86.

«Модели безопасности Java VM и Oracle Database слишком разного уровня, — поясняет Говдяк. — В модели безопасности, используемой Oracle Database, нет четких границ привилегий, необходимых для исследования программного стека. Между тем такие ограничения были введены в JDK 1.2 и Netscape 4.0 более 15 лет назад. В результате открылась возможность для инъекции произвольного Java-кода в последовательность правомочных обращений к базе данных».

Говдяк утверждает, что PoC-эксплойты от Security Explorations можно использовать против одиночных или комплексных уязвимостей Java с целью получения доступа по записи в обход средств защиты типов данных и памяти.

«Повышение привилегий происходит вследствие осторожных манипуляций содержимым внутренних структур Java VM или объектами классов систем, — заявил исследователь. — Техники повышения привилегий (или векторы атаки), реализованные в наших PoC-кодах, используют некорректность реализации AUTHID DEFINER для процедур базы данных и функций, определяемых языком программирования Java».

Oracle залатала все уязвимости, о которых сообщили Говдяк и другие исследователи, — всего 154; в Java было исправлено 25 ошибок, 22 из них открывают возможность для удаленного выполнения кода. Oracle также опубликовала патчи для 31 бага в Oracle Database Server; удаленному эксплойту подвержены только два из них: один — в основной РСУБД, второй — в Oracle Net.

Некоторые из патчей для Oracle Database актуальны также для продуктов Oracle Fusion Middleware. В Oracle Database суммарно устранено 18 уязвимостей, 14 из них допускают удаленную эксплуатацию.

Oracle закрыла также более 20 брешей в сервере баз данных MySQL (девять удаленно эксплуатируемых) и 15 — в продуктах Oracle Sun Systems, в том числе в серверах Solaris и Fujitsu, шесть из них с возможностью удаленной эксплуатации.

Эрик Морис (Eric Maurice) из Oracle написал в блоге, что компания получила отчеты об itw-эксплуатации уже пропатченных уязвимостей: «В Oracle продолжают поступать достоверные отчеты о попытках использовать уязвимости, патчи к которым давно опубликованы Oracle. Многим патчам уже несколько лет, но их до сих пор не поставили, и такие пользователи сильно рискуют, особенно те, чьи системы подключены к Интернету. Мы советуем внимательно следить за публикацией патчей, это благоприятно влияет на уровень безопасности и вообще является весьма полезной привычкой для ИТ-администраторов».

Категории: Главное, Уязвимости