Oracle hat kürzlich eine schwerwiegende Sicherheitslücke (CVE Score: 9.9) in Oracle Database bekannt gegeben. Die Schwachstelle betrifft 11.2.0.4 und 12.2.0.1 und ermöglicht es einem Angreifer, der eine Sitzung starten kann (d. h. sich erfolgreich authentifiziert), den Oracle-Server vollständig zu kompromittieren und darüber hinaus Zugriff auf eine Betriebssystem-Shell zu erhalten. Um sich vor einer Kompromittierung zu schützen, empfiehlt Oracle allen Nutzern ein Update auf 12.1.0.2 Juli 2018 CPU.
Im Folgenden zeigen wir Ihnen, wie Sie nach verwundbaren Servern suchen können, die im Internet öffentlich zugänglich sind.
Diese spezielle Schwachstelle ist insofern von Bedeutung, als sie die Ausnutzung der Schwachstelle per Fernzugriff ermöglicht, wobei Oracle jedoch einen wichtigen Unterschied macht: Die Fernausnutzung ist nur möglich, wenn sich der Angreifer mit gültigen Anmeldeinformationen erfolgreich beim Datenbankserver authentifiziert.
Die National Vulnerability Database des NIST kommentiert das CVE:
Unterstützte Versionen, die betroffen sind, sind 11.2.0.4, 12.1.0.2, 12.2.0.1 und 18. Die leicht ausnutzbare Schwachstelle ermöglicht es Angreifern mit geringen Privilegien, die über die Berechtigung "Create Session" verfügen und über Oracle Net auf das Netzwerk zugreifen können, Java VM zu kompromittieren. Die Schwachstelle betrifft zwar Java VM, aber Angriffe können sich auch auf andere Produkte auswirken. Erfolgreiche Angriffe auf diese Sicherheitslücke können zur Übernahme der Java VM führen. CVSS 3.0 Base Score 9.9 (Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit). CVSS-Vektor: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
So finden Sie Oracle-Datenbankserver, die von CVE-2018-3110 betroffen sind
Führen Sie mit Censys eine Suche nach Hosts durch, auf denen die betroffenen Serverversionen laufen:
1521.oracle.banner.nsn_service_versions.Authentication: 11.2.0.4* OR 1521.oracle.banner.nsn_service_versions.Authentication: 12.1.0.2* OR 1521.oracle.banner.nsn_service_versions.Authentication: 12.2.0.1* OR 1521.oracle.banner.nsn_service_versions.Authentication: 18*
Search Censys
Fügen Sie Bereiche von IP-Adressen hinzu, die zu Ihrer Organisation gehören, um die Ergebnisse zu filtern. Zum Beispiel:
...) UND 54.0.0.0/8
Search Censys
Patches für Ihre Oracle-Datenbank-Server
Nehmen wir an, Sie haben einige betroffene Datenbankserver in den Censys Daten gefunden, die Sie aus dieser Suche gezogen haben. Nun ist es an der Zeit, einen Patch zu erstellen, indem Sie die von Oracle bereitgestellten Anweisungen für CVE-2018-3110 befolgen.
Censys hilft Ihnen, sich einen Überblick über Server mit Schwachstellen zu verschaffen, so dass Sie proaktiv in Ihre Bemühungen um die Informationssicherheit eingreifen können. Wir empfehlen, täglich zu scannen und Listen mit Sicherheitslücken zu abonnieren, die Updates über betroffene Produktversionen enthalten. Dann können Sie Censys verwenden, um die anfälligen Server Ihres Unternehmens zu finden, die über das Internet zugänglich sind.
Schicken Sie uns einen Tweet, wenn Sie ein Feedback haben. Wir würden uns freuen, von Ihnen zu hören.
