IT-Sicherheitsforscherin Dana Tayler gab vor kurzem bekannt, drei Sicherheitslücken in Oracle´s Forms and Reports Produkten gefunden zu haben. Im Falle einer Kompromitierung hätten potentielle Angreifer Zugriff auf den Server sowie auf das komplette Netzwerk des Opfers.

Zwar sind die geschilderten Lücken bereits im Jahr 2011 entdeckt worden, jedoch sei in den Folgejahren, nach Taylors Meinung, seitens Oracle nicht genug unternommen worden um die eigenen Kunden diesbezüglich zu schützen.

So ist sie für eine vollständige Offenlegung der Schwachstellen und schildert in Ihrem Blog die erforderlichen Schritte, um diese reproduzieren zu können:

"Nachdem ich vor zwei Jahren damit begonnen habe, aktiv mit Oracle zu arbeiten, wurden die entdeckten Sicherheitslücken seitens Oracle nicht als ernsthaft eingestuft und es wurden nichts unternommen diese nachträglich zu schließen. Wenn man eine Sicherheitslücke klassifiziert, sei es in mitteleres / niedriges Risiko, so wird diese nicht in den Fokus der Aufmerksamkeit der Admins gelangen die Oracle Server aktiv managen.  Ich zeigte Oracle die Videos (siehe unten) in denen dargelegt wird, wie man über die Ausnutzung der bestehenden Sicherheitslücke eine ferngesteuerte Konsole übernimmt, jedoch beharrt Oracle auch danach auf seinen aktuellen Standpunkten."

Taylor betont hierbei, dass es ihr hierbei um die verantwortungsvolle Offenlegung von Schwachstellen ginge und unterstreicht zudem, dass Anbieter für die Schwachstellen ihrer Produkte natürlich eigenverantwortlich sind. Dazu gehöre auch die Ergreifung geeigneter Maßnahmen nach der Offenlegung von Sicherheitslücken durch den Anbieter, gerade um Benutzer / Kunden betroffener Produkte zu schützen.

Der Hintergrund

Im April 2011, entdeckte Taylor eine Schwachstelle in Oracle, hierbei handelte es sich um die Möglichkeit, Datenbank-Passwörter mit einem nicht authentifizierten Web-Browser zu entleeren. Oracle bestätigte seinerzeit die Sicherheitslücke, nannte diese jedoch einen "Konfigurationsfehler".
Später, im gleichem Jahr, berichtete Taylor über eine zweite Sicherheitslücke. Hierbei verwies sie auf Probleme, die Angreifern einen Browserbasierten-Zugriff auf das Dateisystem eines Servers, inkl. Dateidownload erlauben, basierend auf den Zugriffsrechten des jeweiligen "Oracle"-Benutzerkontos (inkl. SSH Schlüssel), zudem die Möglichkeit des Ladens externer Seiten, der Zweckentfremdung des Servers als Proxy-Server zum Netzwerkscan oder die Möglichkeit, dass Angreifer den betroffenen Server dazu verwenden um die Firewall zu umgehen, um bspw. zugriff auf geschützte Applikationen nehmen zu können, wie zum Beispiel die Oracle Enterprise Manager Konsole. Zudem lassen sich die Entdeckungen Taylors auch dazu verwenden, um auf dem betroffenen Server eine ferngesteuerte Konsole, aufzurufen.
Für einige Unternehmen und Administratoren wäre dies der absolute GAU.

Beim zweiten Bericht auf Sicherheitslücken bei Oracle hörte der Hersteller aufmerksamer zu und versprach die entsprechenden Lücken zu schließen.
Erinnert an die erste Sicherheitslücke, änderte Oracle seinen Standpunkt, dass es sich hierbei um einen Konfigurationsfehler handelte und gab zu, dass es eine offizielles Sicherheitsproblem handle.

Seit der ursprünglichen Stellungnahme seiten Oracle im November 2011, unterzog Oracle diverse Workarounds um das Problem in den Griff zu bekommen und veröffentlichte ein Software-Update für die Version 11g. Jedoch wurden die entsprechenden Updates hierbei nicht als kritische Problembehebung eingestuft.
Diese niedrige Empfehlungsstufe bedeutet Taylor zufolge, dass einige Unternehmen diese Updates und Patches nicht zur Anwendung gebracht haben könnten, da die Installation seitens Oracle nicht als zwingend erforderlich oder systemrelevant eingestuft wurde.
Zudem verwies Oracle darauf, dass die Vorgängerversion 10g nicht länger unterstützt würde und bat Taylor diesen Fakt doch bei der Veröffentlichung ihrer
Erkenntnisse zu berücksichtigen.

"... anhand der Reaktion seitens Oracle, erkennt man, dass diese gewillt sind ältere Versionen der Software unmodifiziert zu lassen. Diese Versionen beinhalten nach wie vor die entsprechenden Sicherheitslücken und bleiben somit verletzlich und angreifbar. Das niedrige Sicherheitsrating trägt seinen Teil dazu bei, dass es möglicherweise noch eine Recht hohe Anzahl an verletzlichen Servern dort draussen gibt. Vielmehr als wenn man von vornherein eine Sicherheitskritische
Patch-Empfehlung herausgegeben hätte."

"Und für Versionen die Älter sind als die Version 10.x bin ich nicht sicher ob ein Workaround zu dem Problem überhaupt existiert. Es gibt somit folglich noch sehr viele Unternehmen und Behörden die immer noch ältere Versionen von Oracle Reports im Einsatz haben  und eine einfache Google Suche offenbart bereits, dass diese Versionen tatsächlich noch eingesetzt werden. Behörden sind hierbei generell immer im Verzug, was die Aktualität bestimmter Software Versionen angeht."

Eine Google Suchanfrage, bei denen nach Indikatoren für Webseiten gesucht wird, bei denen sich Oracle Forms and Reports im Einsatz befindet ergibt mehr als 6.3 Mio. Ergebnisse.
Selbst wenn man hierbei die doppelten Einträge sowie die bereits geupdateten Serverversionen abzieht, so ergibt sich immer noch eine hohe Wahrscheinlichkeit, dass ein potentieller Angreifer einen verletzbaren Server entdeckt und Zugriff auf diesen und dessen sensiblen Informationen erhält.

Die Ausnutzung der Oracle Sicherheitslücke als veranschaulichtes Beispiel:

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen