Oracle Database 11g spuugt wachtwoorden uit

Door een bug in Oracle Database 11g kunnen hackers versleutelde wachtwoorden van gebruikers van opvragen en deze daarna met een brute-force-aanval openkraken om toegang te krijgen tot de database.

Een fout in de databasesoftware van Oracle zorgt ervoor dat hackers gebruikerswachtwoorden kunnen opvangen. Opvallend is dat er geen man-in-the-middle-aanval voor nodig is om de database te kraken. De hacker kan de credentials rechtstreeks opvragen met een bestaande gebruikersnaam. De database stuurt dan een gehashte sleutel terug naar de aanvaller.

Server stuurt sleutel
De database stuurt de sessiesleutel en een salt terug en met die twee kan de hacker een brute-force uitvoeren. Op een doorsnee pc duurt het 5 uur om het wachtwoord te kraken, maar met geavanceerdere hardware en meer gerichte aanvallen kan dit nog veel sneller, aldus Kaspersky's blog Threatpost.

"Dit is een gevaarlijke bug, omdat hij makkelijk te misbruiken en niet te traceren is, en omdat het in een essentieel onderdeel van de login-procedure zit", aldus onderzoeker Esteban Martinez Fayo, die de bug ontdekte. "Het is heel simpel te misbruiken. De aanvaller hoeft alleen maar een paar netwerkpakketjes te versturen of een standaard Oracle-client te gebruiken om de sleutel te bemachtigen."

Gat blijft open
Fayo bracht de kwetsbaarheid in 2010 onder de aandacht van Oracle. De databaseproducent patchte de bug in 2011 in het authenticatieprotocol, maar dit lost het probleem niet automatisch op, aldus Fayo. Databasebeheerders moeten namelijk vervolgens nog de server zodanig configureren dat alleen de nieuwe versie wordt geaccepteerd.

Daarnaast laat Oracle het probleem openstaan in oudere versies. Fayo ontdekte de bug in versie 11.1 en vorig jaar rolde de softwaregigant versie 12 uit. De getroffen databases zijn Oracle Database 11g release 1 en 2.

Patchloze zomer
Oracle scoort dit jaar niet goed met het dichten van gaten. Bij de patchronde van juli liet Oracle een gevaarlijke 0-day openstaan. Een man-in-the-middle-aanval kan worden uitgevoerd door dit gat te misbruiken. Bij een eventuele patch zou het risico op regression te groot zijn.

En een afgelopen zomer opgedoken 0-day in Java van Oracle bleef lang ongepatcht, ook al wist de softwaregigant al maanden van het gat. Oracle kwam uiteindelijk met een noodpatch, die een nieuwe kwetsbaarheid aan het licht bracht.