甲骨文公司對導(dǎo)致Oracle TNS Listener毒藥攻擊的零日漏洞處理方式,讓很多管理員感到困惑,他們不知道該對數(shù)據(jù)庫采取什么安全措施。在本文中,我們將研究TNS Listener漏洞的運(yùn)作原理,分析Oracle的回應(yīng)以及企業(yè)是否應(yīng)該調(diào)整其網(wǎng)絡(luò)防御系統(tǒng)以更好地保護(hù)其數(shù)據(jù)庫。
TNS Listener漏洞
這個(gè)特殊的漏洞很容易被利用,并允許攻擊者執(zhí)行中間人攻擊以獲取對數(shù)據(jù)庫服務(wù)器的完全控制:它的嚴(yán)重程度取決于對它的攻擊深度。該漏洞暴露了TNS Listener服務(wù),此服務(wù)將來自客戶端的連接請求路由到所有版本的Oracle數(shù)據(jù)庫的服務(wù)器中。安全研究人員Joxean Loret在2008年發(fā)現(xiàn)了這個(gè)漏洞,并向Oracle報(bào)告了此漏洞。四年后,他發(fā)布了該漏洞的細(xì)節(jié)信息,因?yàn)樗詾镺racle已經(jīng)解決了這個(gè)問題。
然而,Oracle最近才針對漏洞CVE-2012-1675發(fā)布了一個(gè)帶外安全警告。并且,這只是一個(gè)解決方法,而不是一個(gè)補(bǔ)丁,它提供了保護(hù)TNS Listener和抵御利用該漏洞發(fā)起的攻擊的指導(dǎo)信息。2012年4月Oracle關(guān)鍵補(bǔ)丁更新也沒有包含針對該漏洞的補(bǔ)丁。Oracle對于發(fā)布解決方案而不是補(bǔ)丁,給出了以下原因:
這個(gè)補(bǔ)丁很復(fù)雜,這將嚴(yán)重影響“向后移植(backport)”或傳統(tǒng)安裝。
這個(gè)補(bǔ)丁是存在回歸問題的代碼的關(guān)鍵部分。
客戶要求Oracle不要涵蓋安全補(bǔ)丁,因?yàn)樵撗a(bǔ)丁將會增加回歸到CPU的機(jī)會,而這可能危及數(shù)據(jù)庫的穩(wěn)定性。
Oracle TNS Listener毒藥攻擊漏洞可能多年來都存在于所有版本的Oracle數(shù)據(jù)庫平臺中,但這個(gè)漏洞只有在下一個(gè)主要版本推出時(shí)才可能會被修復(fù)。在那之前,管理員必須采用Oracle提供的解決方法,沒有使用該解決方法的Oracle客戶很容易受到遠(yuǎn)程未授權(quán)攻擊者的攻擊。
如果在這個(gè)解決方法發(fā)布之前可能已經(jīng)發(fā)生了攻擊呢?不幸的事實(shí)是,惡意攻擊者也許已經(jīng)獨(dú)立地發(fā)現(xiàn)這個(gè)Oracle TNS Listener毒藥攻擊漏洞,并可能多年來都利用它來攻擊企業(yè)數(shù)據(jù)庫,而管理員可能從來都沒有發(fā)現(xiàn)。
在過去,企業(yè)將不得不進(jìn)行取證調(diào)查以及分析歸檔日志文件,看看是否可以檢測到異常命令或者網(wǎng)絡(luò)流量來證明有人成功利用了這個(gè)漏洞。原漏洞通知時(shí)間和Oracle采取的并非完全令人信服的行動時(shí)間這么久,也讓一些安全專家質(zhì)疑Oracle還知道哪些其他漏洞而選擇不修復(fù)。
這種情況也闡明了為什么計(jì)算機(jī)安全專家在美國參議院軍事委員會新興威脅和功能小組委員會,告訴成員要假設(shè)美國軍方計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)被滲透的原因,基于這個(gè)前提,安全工作應(yīng)更專注于保護(hù)敏感數(shù)據(jù),而不是控制訪問權(quán)限。這些意見不是這個(gè)漏洞的結(jié)果,而是基于大型企業(yè)發(fā)生的數(shù)據(jù)泄露事故數(shù)量,它們的系統(tǒng)已經(jīng)被感染幾個(gè)月甚至幾年。
使用網(wǎng)絡(luò)外圍作為數(shù)據(jù)庫防御
盡管如此,管理員仍然不應(yīng)該放棄其外圍防御。相反地,在這些防御的基礎(chǔ)上,還應(yīng)該采用謹(jǐn)慎的網(wǎng)絡(luò)分段,并為數(shù)據(jù)庫連接強(qiáng)制使用SSL和傳輸層安全加密。預(yù)防永遠(yuǎn)好過補(bǔ)救,穩(wěn)妥的企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該假定:在網(wǎng)絡(luò)某處存在被感染的系統(tǒng),惡意軟件正試圖通過該系統(tǒng)收集和滲出重要數(shù)據(jù)到遠(yuǎn)程命令控制中心。
為了反映這一現(xiàn)實(shí),安全團(tuán)隊(duì)必須重新調(diào)整其優(yōu)先次序、資源和時(shí)間。他們應(yīng)該確保分配足夠的時(shí)間和技術(shù)(例如數(shù)據(jù)丟失防護(hù))來尋找可疑內(nèi)部流量,并在當(dāng)出現(xiàn)不符合安全政策的請求時(shí),防止數(shù)據(jù)離開網(wǎng)絡(luò)。
開源工具Hone可用于追蹤企業(yè)內(nèi)可疑惡意活動的來源。Hone由美國能源部下屬太平洋西北國家實(shí)驗(yàn)室發(fā)布,它是一個(gè)網(wǎng)絡(luò)活動可視化工具,通過跟蹤流量到產(chǎn)生流量的應(yīng)用,Hone能夠幫助網(wǎng)絡(luò)經(jīng)理更好地識別和理解攻擊,并幫助管理員更快地識別感染來源。
隨著軟件代碼變得越來越復(fù)雜,供應(yīng)商不能快速提供漏洞補(bǔ)丁的請擴(kuò)將會越來越多。Oracle對TNS Listener毒藥攻擊的處理方式充分說明:在供應(yīng)商發(fā)布下一個(gè)修復(fù)補(bǔ)丁之前,企業(yè)不能坐以待斃。基于這個(gè)前提,企業(yè)必須重新調(diào)整安全防御措施,監(jiān)控和控制傳入和傳出流量,以彌補(bǔ)關(guān)鍵業(yè)務(wù)企業(yè)應(yīng)用的不足。
京公網(wǎng)安備 11010502049343號