Per Larry Ellison, il giorno di Halloween è stato funestato dall’apparizione di un messaggio, nella mailing list “Full disclosure”, dedicata a tematiche di sicurezza.
Con il titolo "Trick or Treat Larry." (“Dolcetto o scherzetto”, per i bimbi nostrani), è stato inviato il codice sorgente in PL/SQL di un security worm, che, utilizzando il package utl_tcp, ricerca altri DB Oracle sulla stessa sottorete e usa i link privati del DB per connettervicisi.
Il worm è, per il momento, un esercizio e non costituisce una minaccia in sé: mancano infatti, in esso, le parti riguardanti l’autoreplicazione, ma in ogni caso costituisce un segnale di “Early warning” su future evoluzioni potenziali.
Si tratta infatti del primo esempio di attacco che si appoggia al DB Oracle, mentre è già la terza volta che viene preso di mira un DBMS: alcuni di voi certamente ricorderanno i due diversi worm che, tempo fa, hanno colpito l’SQL Server di Microsoft nonché il mySQL.
Nel codice inviato alla mailing list, si prevede che il worm, una volta trovato il DB e recuperato il SID, il worm utilizza diverse combinazioni di username e password per tentare la login, come ad esempio:
- system/manager
- sys/change_on_install
- dbsnmp/dbsnmp
- outln/outln
- scott/tiger
- mdsys/mdsys
- ordcommon/ordcommon
In caso di accesso, il programma crea una tabella X nello schema dell’utente con una colonna chiamata Y: ovviamente, questa procedura può essere modificata per avere conseguenze molto più drammatiche. Non si parla solo possibile distruzione dei dati, ma soprattutto di violazione, in quanto il contenuto delle tabelle può essere letto e facilmente inviato altrove.
Il sito Red Database Security, propone alcuni suggerimenti per contrastare o mitigare gli effetti di un attacco di questo tipo su un DB Oracle.
Nessun commento:
Posta un commento