Advertencia de Gartner a empresas usuarias de Oracle

1 Feb 2006 en Software

Sorpresivamente, la firma investigadora Gartner recomendó a sus clientes que reexaminen la forma en que administran sus sistemas basados en Oracle, especialmente en lo que hace a la protección de su seguridad y a la luz de los recientes problemas de Oracle con vulnerabilidades críticas en su software.
Hace dos semanas, informamos acerca de la liberación de casi un centenar de patches por parte de Oracle. Los patches atendían a 82 vulnerabilidades críticas en varias líneas de sus productos, tal como lo detallamos en esa oportunidad.
Oracle tiene su programa CPU (Critical Patch Update) de actualización trimestral para sus softwares. Gartner destaca que esto permite a los administradores de sistemas una programación más prolija de mantenimiento, pero el VP a cargo de investigación de la firma, Rich Mogull, manifestó su preocupación por el volumen y gravedad de las vulnerabilidad que recibieron sus parches en esta última oportunidad.
37 de las vulnerabilidades pertenecen a las bases de datos y varias de ellas se calificaron como de “fácil explotación” y algunas de ellas permitían explotación y acceso remotos.
“La información provista con los patches es muy limitada, dificultándose así la protección de las organizaciones frente a eventuales ataques,” afirma Mogull. “Las aplicaciones de Oracle generalmente se utilizan en entornos que son más delicados que un desktop Windows y que suelen ser de misión crítica.”
Según Mogull, muchos clientes confían en la imagen de seguridad de Oracle y como las aplicaciones y bases de datos residen detrás de firewalls, muchos de ellos no actualizan los patches con regularidad en sus sistemas.
Ese comportamiento ya no es aceptable, dice Mogull, dado que las vulnerabilidades críticas de Oracle están siendo descubiertas a un ritmo creciente y las herramientas y código de explotación están ya apareciendo regularmente en Internet. “Un firewall no protege de todos los ataques, incluyendo a los que provienen de adentro.”
La información que Oracle ofrece es escasa y eso equivale a que los clientes no puedan determinar formas de protección y evaluar riesgos para sus sistemas. “Recomendamos que los usuarios se escuden bien antes de ponerse a trabajar con las vulnerabilidades, pero en este caso no tienen forma de establecer cómo escudarse y quedan expuestos a un posible ataque hasta que se aplica el patch,” prosigue Mogull.
Gartner encuentra que la calidad de los patches de Oracle es otro de los problemas, ya que en algunos casos han tenido que ser emitidos nuevamente para atender a problemas de instalación y estabilidad. Oracle no describe maniobras (workarounds) para problemas que puedan aparecer durante la aplicación de los patches ya que en general esos workaround no sirven para todas las partes de los productos Oracle. Esto dificulta la estimación de riesgo para los administradores de sistemas.
Como resultado de la situación descripta, Gartner recomienda que las empresas usuarias procedan de inmediato a “blindar” bases de datos y aplicaciones Oracle con firewalls, sistemas de bloqueo de intrusos y otras tecnologías.
Gartner también recomienda que los administradores instalen los patches lo antes posible dado que la información incompleta de parte de Oracle hace que las otras medidas de blindaje resulten también incompletas. Por último, también recomienda herramientas alternativas de seguridad como monitoreo de actividad, para la detección de actividad inusual en las bases de datos.