Esteban Martinez Fayo นักวิจัยด้านความปลอดภัยของบริษัท AppSec ได้นำเสนอช่องโหว่ใหม่ที่เกิดขึ้นบนโปรโตคอลที่ใช้ใน การล็อกอินของ Oracle DB ที่จะช่วยให้ผู้ใช้ช่องโหว่นี้ในการโจมตีสามารถเข้าถ ึงฐานข้อมูลได้ผ่านทางการโจมตีแบบ bruce-force attack โดยช่องโหว่นี้เกิดขึ้นได้เพียงแค่ผู้โจมตีรู้ถึงชื่ อผู้ใช้งานที่ถูกต้องของฐานข้อมูลและชื่อของฐานข้อมู ล
หลักการของช่องโหว่นี้คือระบบพิสูจน์ตัวตนของฐานข้อม ูลจะส่ง session key และ salt มาก่อนที่การพิสูจน์ตัวตนจะเสร็จสิ้น ซึ่งถ้าผู้โจมตีสามารถปิดการเชื่อมต่อได้ทันทีหลังจา กได้รับ session key ระบบก็จะไม่สามารถเก็บล็อกไฟล์จากการพยายามล็อกอินคร ั้งนั้นได้เพราะถือว่าเป็นการล็อกอินที่ยังไม่เสร็จส ิ้น หลังจากนั้นผู้โจมตีก็จะทำการ bruce-force attack กับตัว session key เพื่อให้ได้มาซึ่งรหัสผ่าน
Fayo กล่าวเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่าเป็นข้อบกพร่อ งในการเข้ารหัสลับของระบบพิสูจน์ตัวตนของฐานข้อมูล อีกทั้งยังบอกด้วยว่าการที่จะได้มาซึ่งข้อมูลเช่นชื่ อผู้ใช้งานหรือชื่อของฐานข้อมูลนั้นไม่จำเป็นต้องใช้ man-in-the-middle attack หรือการ spoof ใดๆ เลย เพราะฐานข้อมูลมีจุดที่ข้อมูลเหล่านี้รั่วไหลออกมาอย ู่แล้ว ในการทดสอบนั้น Fayo ใช้เพียงสคริปต์ที่เขาพัฒนาขึ้นและคอมพิวเตอร์ทั่วไป โดยใช้เวลาในการโจมตีทั้งหมด 5 ชั่วโมง ผลลัพธ์ก็คือ เขาสามารถล็อกอินเข้าสู่ชื่อผู้ใช้งานนั้นๆ ได้ทันที
ช่องโหว่นี้ได้รับการแพตซ์แล้วในเวอร์ชัน 12 แต่ยังพบในเวอร์ชัน 11.1 อยู่
ที่มา - Threatpost


อ่านต่อ...