Oracle corrige brechas de seguridad altamente explotables

16 Jul 2009 en Seguridad

Este lote trimestral de patches liberado por Oracle posiblemente corrija una cantidad menor de brechas que los anteriores. Pero lo notable en esta oportunidad es que las brechas que pueden ser explotadas sin credenciales, alcanzan una cantidad inusual.
En la escala CVSS (Common Vulnerability Scoring System), dos de las fallas alcanzan un puntaje máximo de 10. Esto representa el mayor riesgo posible porque permiten un ataque al sistema sin autenticación alguna. El factor que hace a su gravedad es que se puede explotar la brecha sin credenciales de la base de datos. Estas vulnerabilidades críticas se encuentran en la aplicación BEA JRockit y en Oracle Secure Backup.
BEA JRockits es la tecnología Java de Oracle y la vulnerabilidad afecta a sus versiones más recientes, la R27.6.3 y anteriores como JDK/JRE 6, 5, 1.4.2. El atacante puede explotarlas para causar daño sin necesidad de credenciales.
Oracle también liberó patches para otros productos BEA: Oracle Complex Event Processing y Oracle WebLogic Server.
Respecto a Oracle Secure Backup, la brecha calificada con un 10 permite su explotación también sin credenciales. Para este producto hay otro patch calificado con un 9 porque, aunque lleva al control completo de una PC, requiere de credenciales válidas.
Para su base de datos, Oracle entrega diez correcciones. Algunas aplican al nuevo producto 11g y tres de ellas pueden ser explotadas sin el nombre y password de usuario. Otra corrección es para una brecha que califica con 9 si el producto corre sobre Windows y 6.5 si lo hace sobre Unix o Linux, permitiendo el control completo de una base de datos en Windows y parcial en Unix o Linux.
Amichai Shulman, ex miembro del centro de seguridad de las fuerzas de defensa israelíes (IDF), opina que la brecha se relaciona más bien con componentes del networking, tales como Oracle Listener, más que con el core de la base de datos en sí misma. En abril de este año, Cisco liberó un ataque de prueba de concepto en Oracle Database Listener sobre Windows porque atacaba un archivo DLL específico. Esa brecha demostrada por Cisco fue corregida.
En Oracle Application Server las dos brechas tienen calificaciones más bajas, un 5, pero pueden ser explotadas sin credenciales. De ocho correcciones para Oracle Applications Suite, hay cinco que también se pueden explotar sin credenciales, aunque no califican más arriba de 6. En Oracle Enterprise Manager Suite hay dos arreglos calificados con 5.5 y no se pueden explotar sin credenciales.
PeopleSoft y JDEdwards Suite tienen tres patches. Uno corrige una brecha que puede ser explotada sin credenciales y ninguno califica más de 5.5.
Oracle Siebel Suite tiene un patch calificado con un 3, pero su brecha puede ser explotada sin credenciales. A esto se refiere Shulman cuando dice que la calificación subestima el riesgo. “Con herramientas simples como Telnet o un editor de textos, puedo hacer caer un servidor de base de datos en producción. Estas brechas califican relativamente bajo en el estándar CVSS que sigue Oracle, pero en realidad representan un riesgo importante a la seguridad,” concluye.