Oracle a récemment révélé une grave vulnérabilité (CVE Score : 9.9) dans Oracle Database. La vulnérabilité affecte 11.2.0.4 et 12.2.0.1 et permet à un attaquant qui peut démarrer une session (c'est-à-dire s'authentifier avec succès) de compromettre entièrement le serveur Oracle et d'obtenir en outre l'accès à un shell du système d'exploitation. Pour se protéger de la compromission, Oracle recommande à tous les utilisateurs de mettre à jour vers 12.1.0.2 July 2018 CPU.
Nous montrons ci-dessous comment vous pouvez rechercher des serveurs vulnérables qui font face au public sur l'internet.
Cette faille particulière est importante car elle permet l'exploitation à distance de la vulnérabilité, bien qu'Oracle ajoute une distinction importante : L'exploitation à distance n'est possible que si l'attaquant s'authentifie avec succès auprès du serveur de base de données en utilisant des informations d'identification valides.
La base de données nationale des vulnérabilités du NIST commente le CVE:
Les versions supportées qui sont affectées sont 11.2.0.4, 12.1.0.2, 12.2.0.1 et 18. Cette vulnérabilité facilement exploitable permet à un attaquant disposant du privilège de création de session et d'un accès réseau via Oracle Net de compromettre Java VM. Bien que la vulnérabilité concerne Java VM, les attaques peuvent avoir un impact significatif sur d'autres produits. Les attaques réussies de cette vulnérabilité peuvent aboutir à la prise de contrôle de Java VM. Score de base CVSS 3.0 9.9 (impacts sur la confidentialité, l'intégrité et la disponibilité). Vecteur CVSS : (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Comment trouver les serveurs Oracle Database affectés par CVE-2018-3110 ?
À l'aide de Censys, effectuez une recherche des hôtes exécutant les versions de serveur concernées :
1521.oracle.banner.nsn_service_versions.Authentication : 11.2.0.4* OR 1521.oracle.banner.nsn_service_versions.Authentication : 12.1.0.2* OR 1521.oracle.banner.nsn_service_versions.Authentication : 12.2.0.1* OU 1521.oracle.banner.nsn_service_versions.Authentication : 18*
Recherche Censys
Ajoutez des plages d'adresses IP appartenant à votre organisation pour filtrer les résultats. Par exemple, vous pouvez ajouter des plages d'adresses IP appartenant à votre organisation pour filtrer les résultats :
...) ET 54.0.0.0/8
Recherche Censys
Application de correctifs à vos serveurs Oracle Database
Disons que vous avez trouvé quelques serveurs de base de données affectés dans les données Censys que vous avez extraites de cette recherche. Il est maintenant temps d'appliquer le correctif en suivant les instructions fournies par Oracle pour la CVE-2018-3110.
Censys vous aide à avoir une visibilité sur les serveurs présentant des vulnérabilités afin que vous puissiez être proactif dans vos efforts de sécurité de l'information. Nous vous recommandons d'effectuer un balayage quotidien et de vous abonner à des listes de vulnérabilités qui partagent des mises à jour sur les versions affectées des produits. Vous pouvez ensuite utiliser Censys pour trouver les serveurs vulnérables de votre organisation qui sont accessibles depuis Internet.
Envoyez-nous un tweet si vous avez des commentaires. Nous serions ravis de vous entendre.
