'Wachtwoorden Oracle-database eenvoudig te achterhalen'

Volgens een beveiligingsonderzoeker zijn recente Oracle 11g-databases relatief eenvoudig te hacken. Uit de sessiekey die bij een loginpoging naar de client wordt gestuurd, kan informatie uit de wachtwoord-hash worden afgeleid.

Dat heeft de Argentijnse beveiligingsonderzoeker Esteban Martínez Fayó ontdekt, schrijft Threatpost, een securityblog van beveiligingsbedrijf Kaspersky. Volgens Martínez Fayó verstuurt de Oracle 11g-databaseserver bij een inlogpoging een sessie-key die informatie bevat over de wachtwoord-hash naar de client. Een vereiste is wel dat een aanvaller de naam van de te hacken gebruiker kent, evenals de naam van de database.

Na het opvragen van de sessie-key kan de verbinding worden gesloten en kan lokaal worden begonnen met het brute forcen van de key, aldus de onderzoeker. Het gebruiken van rainbow tables, waarbij wachtwoorden en hashes als in een soort telefoonboek aan elkaar zijn gekoppeld, is niet mogelijk, omdat de wachtwoorden zijn gesalt; er zijn unieke waardes aan toegevoegd, juist om rainbow tables onmogelijk te maken.

Volgens Martínez Fayó is het op een standaarddesktop mogelijk om simpele wachtwoorden binnen vijf uur te kraken. Hoeveel tijd voor moeilijkere wachtwoorden nodig is, is onduidelijk. Zowel versie 1 als versie 2 van de Oracle 11g-databases is kwetsbaar.

Oracle heeft een nieuwe versie van het loginprotocol vrijgegeven die de kwetsbaarheid niet meer bevat. Beheerders moeten deze nieuwe versie echter zelf installeren en configureren, benadrukt Martínez Fayó. Er komt geen beveiligingsupdate voor de vorige versie van het protocol. Om het probleem te omzeilen kan ook externe authenticatie worden uitgeschakeld, wat vaak toch al is aan te raden.

Door Joost Schellevis

Redacteur

Feedback • 21-09-2012 14:22 27

21-09-2012 • 14:22

27

Lees meer

Kaspersky: malware-aanval op overheden bleef vijf jaar onopgemerkt
Kaspersky: malware-aanval op overheden bleef vijf jaar onopgemerkt Nieuws van 14 januari 2013
Een op de drie Nederlanders wijzigt wachtwoord nooit
Een op de drie Nederlanders wijzigt wachtwoord nooit Nieuws van 20 november 2012
Noodpatch Oracle voor kritiek lek Java bevat nieuwe kwetsbaarheid
Noodpatch Oracle voor kritiek lek Java bevat nieuwe kwetsbaarheid Nieuws van 31 augustus 2012
Ongepatcht lek in Java 7 wordt actief misbruikt
Ongepatcht lek in Java 7 wordt actief misbruikt Nieuws van 28 augustus 2012
Ziggo ziet af van formatteeradvies bij besmette Macs
Ziggo ziet af van formatteeradvies bij besmette Macs Nieuws van 27 mei 2012
Oracle dicht lek in databasesoftware na opduiken proof-of-concept
Oracle dicht lek in databasesoftware na opduiken proof-of-concept Nieuws van 1 mei 2012
Grote Amerikaanse bedrijven vatbaar voor social engineering
Grote Amerikaanse bedrijven vatbaar voor social engineering Nieuws van 1 november 2011
Meer producten en artikelen
Privacy Oracle Beveiliging Bugs

Reacties (27)

-Moderatie-faq
27
27
12
2
0
7
Wijzig sortering
Wallioo 21 september 2012 15:05
Oracle heeft een nieuwe versie van het loginprotocol vrijgegeven die de kwetsbaarheid niet meer bevat
Hieruit ben ik van mening dat Oracle dit probleem al gevonden had, anders was er nooit zo snel een oplossing gekomen.
The researcher who discovered the bug has a tool that can crack some simple passwords in about five hours on a normal PC.
Ik ben benieuwd naar de 'normal PC', is dat:
- een I5,I7 of een hexa core
- 4, 8 of 16GB geheugen
- een 7200RPM HDD of een SSD.

Ik ben zelf al redelijk de weg kwijt op het gebied van standaarden van hardware van PCs sinds ik niet meer bezig geweest ben met tweaken of het bouwen van PCs sinds 2009.

Mijn vragen hieruit zijn:
1. Is het probleem al lang bekend bij Oracle? en hoe lang al?
2. Hoe lang is het al een bruikbare 'zero day' issue voor de hackers die het proberen met een (goede) PC. (zonder een of meerdere servers of een botnet.) zie ook na mijn 2e quote.
tympie @Wallioo21 september 2012 15:47
Volgens een andere site:
Martinez Fayo and his team first reported the bugs to Oracle in May 2010. Oracle fixed it in mid-2011 via the 11.2.0.3 patch set, issuing a new version of the protocol. "But they never fixed the current version, so the current 11.1 and 11.2 versions are still vulnerable," Martinez Fayo says, and Oracle has no plans to fix the flaws for version 11.1.
Anoniem: 450146 @Wallioo21 september 2012 15:55
Een normale PC is een i3 of een i5 ofzo. Met 4GB geheugen.
TheNephilim 21 september 2012 14:30
Het is natuurlijk mogelijk om achter de naam van de gebruiker en die van de database te komen, maar het maakt het 'eenvoudig' wel weer een beetje overdreven. Zeker bij gevoelige informatie is de naam van de gebruiker en database niet gewoon user en database.

Daarnaast is er met wat extra werk wel gebruik te maken van deze exploit. Ik vind het raar dat zoiets zich voordoet bij Oracle die juist een naam heeft hoog te houden.

Wat nog vreemder is; "Beheerders moeten deze nieuwe versie echter zelf installeren en configureren, benadrukt Martínez Fayó. Er komt geen beveiligingsupdate voor de vorige versie van het protocol."
Bor Coördinator Frontpage Admins / FP Powermod @TheNephilim21 september 2012 16:57
Er zijn legio applicaties die de database naam gewoon tonen, bijvoorbeeld in een handig drop down boxje om de database te selecteren. Veel bedrijven hanteren een display name in applicaties die gelijk is aan de database naam. Bij andere applicaties staat de database naam in de "info" box of in de title van een window.
tympie @TheNephilim21 september 2012 15:24
Achterhalen van een usernaam is niet moeillijk. Ik zou beginnen met 'SYS' en 'SYSTEM' ... :)
En als je weet welke database dat je toegang toe wilt krijgen, is de naam daarvan meestal ook niet al te lastig te achterhalen.

[Reactie gewijzigd door tympie op 25 juli 2024 01:03]

Qua Salébra 21 september 2012 14:54
Het is inderdaad niet zo'n heel bijzondere fout. Het valt wel op dat sommige bedrijven ervoor kiezen om een hash van bestaande (min of meer openbare) gegevens te gebruiken als beveiliging. Het pleit voor Oracle dat ze deze fout wel oplossen. Veel bedrijven doen dit nmlk niet.

Oracle blijft overigens prima databases leveren voor de Enterprise. Daar doet deze fout niets aan af.
Blubber @Qua Salébra21 september 2012 14:59
Hoezo is dit geen bijzonder lek? Ik vind het feit dat de server wachtwoord hashes lekt naar bijna willekeurige clients anders aardig lomp.
AtlonXP1800 21 september 2012 14:33
dat "eenvoudig te achterhalen" valt nog wel mee. Je krijgt dus alleen een wachtwoord-hash die ge-salt is waarvan je ook nog niet de encryptie methode weet? Zelfs bij eenvoudige wachtwoorden zal het nog een hele klus zijn om uit zo'n wachtwoord-hash een wachtwoord te halen volgens mij.
Standeman @AtlonXP180021 september 2012 14:49
Met een standaar desktop in vijf uur. Dat vind ik niet echt "meevallen". Nu zal de duur wel exponentieel toenemen naar gelang het ww moeilijker (c.q. langer) wordt, maar dan is het alsnog prima te doen. Desnoods huur je even wat capaciteit bij Amazon ofzo.
mxcreep @Standeman21 september 2012 18:39
De moeilijkheid zal naast het aantal karakters waaruit het wachtwoord bestaat liggen in de gebruikte karakters, met simpel wordt waarschijnlijk bedoeld een wachtwoord uit de karakters a-z, dus zonder hoofdletters, cijfers en bijzondere tekens. Voeg je deze toe dan wordt de te gebruiken karakterset voor brute force zoveel groter dat de benodigde tijd enorm toeneemt.

Aangezien we te maken hebben met professionals, in de vorm van beheerders en developers, die wachtwoorden of in elk geval een policy rondom wachtwoorden en de sterkte ervan bepalen mag het dus als een menselijk falen gezien worden als simpele wachtwoorden gebruikt worden of gebruikt kunnen worden.

[Reactie gewijzigd door mxcreep op 25 juli 2024 01:03]

bstard 21 september 2012 14:34
Opvallend dat Oracle net nu een nieuw inlog protocol bekend maakt ;) Verder niet netjes dat dit kan, maar het is nu ook weer geen gigantische ramp aangezien de gemiddelde database niet van buitenaf berijkbaar is / zou moeten zijn.
Rinzler @bstard22 september 2012 10:32
Yep, maar ze gaan de bug in 11.1 niet dichten... (Volgens Fayo allesinds)
Fayo said that Oracle has released a new version of the authentication protocol, version 12, which fixes this problem. However, he said that Oracle is not planning to fix the bug in version 11.1 of the protocol, and that even after applying the patch that includes the updated protocol, database servers are still vulnerable by default. Administrators need to change the configuration of the server in order to only allow the new version of the protocol.
Gewoon updaten is dus eigenlijk niet genoeg, je moet ook al in je config zitten. Vrij gevaarlijk als je weet hoe het er soms met secuirity aan toe gaat omdat ze niet updaten...
RoelRoel 21 september 2012 14:52
Eenvoudig is natuurlijk relatief, maar ik zou dit echt niet eenvoudig noemen. Het lijkt gewoon beveiligd als de gebruiker maar een sterk wachtwoord heeft.
mphilipp
21 september 2012 15:31
Het is een groot lek als je al boosaardige figuren in je organisatie hebt zitten. Je 'outer perimeter' is dus al gecompromiteerd.

Ik zou graag willen dat security experts die dit soort verhalen publiceren ook erbij vermelden (in een infobox) wat je er precies voor moet doen (randvoorwaarden) en hoe waarschijnlijk het is dat dit in het wild voorkomt.
CyBeRSPiN @mphilipp21 september 2012 16:39
Precies.. Dit lijkt eerder op stemmingmakerij.
Zelfde als "Pincodes ING-klanten makkelijk te achterhalen", het blijkt namelijk dat je als je vlak naast een pinnende klant gaat staan je gewoon hun code kunt aflezen terwijl ze typen! De meeste mensen schermen hun code niet af! Dikke faal van ING! ;)
tympie @mphilipp21 september 2012 19:14
Het is een groot lek als je al boosaardige figuren in je organisatie hebt zitten.
Tja, het instemmingsverzoek om elke werknemer, flexmedewerker en bezoeker vantevoren compleet door te lichten, steeksproefgewijs of periodiek te laten volgen door privé-detectives, en bovendien een stel elektroden in te planten die continu de gedachtenstroom opnemen en doorsturen naar een centrale server voor verdere monitoring en analyse, is bij de laatste OR-vergadering afgewezen... Vandaar dat er dan maar naar makkelijker implementeerbare opties op IT-niveau gekeken wordt.
Ik zou graag willen dat security experts ...
Ik zou graag willen dat Oracle dat doet. Ergens groot in het midden op de Oracle Support site iets van "heej, misschien ben je het op internet al tegengekomen, maar we hebben een vervelend foutje in onze software. Dít is wat er precies aan de hand is, in díe gevallen kun je er last van hebben, en zó kun je het oplossen". Ik kon vanmiddag echter zo snel geen info vinden.

Ondertussen wel, overigens: "Mitigation steps for CVE-2012-3137", document id 1492721.1 (voor degenen die toegang hebben tot MOS).
mphilipp
@tympie22 september 2012 00:54
Pfff...je kunt het ook overdrijven. Oracle verstopt dergelijke problemen natuurlijk niet. Het is een iets te belangrijk product om dit soort dingen te negeren. Er zijn regelmatig security updates en waarschuwingen. Maar ja, dat weet iemand die nooit met Oracle bezig is natuurlijk niet.

Misschien goed om de op voorhand negatieve indrukken eerst te toetsen aan de realiteit.

En wat die interne security betreft: natuurlijk moet je op je hoede zijn voor mensen uit de organisatie. Maar als je security niet op orde is, werkt niets. Met een goede securitypraktijk zijn het gros van dit soort aanvallen zowel van binnen als van buiten zo goed als onmogelijk. En natuurlijk monitort een goede security officer de zaak ook actief.

Ik wil niets bagetaliseren, maar de zogenaamde experts roepen heel vaak dingen die, als je er goed naar gaat kijken, vaak erg onwaarschijnlijk zijn dat ze ooit in de praktijk voor komen. Met dit specifieke ding weet ik het niet, maar heel vaak zijn het welliswaar mogelijkheden, maar om aan de randvoorwaarden te voldoen moet de maan perfect uitlijnen met mars en het ook nog eens hoogwater zijn in Venezuela...als je begrijpt wat ik bedoel. Vandaar dat ik van hen - zij hebben die gevallen immers te uit en te na bestudeerd en getest - horen wat er allemaal moet gebeuren wil dit geëxploiteerd worden. Tenzij de heren liever naam maken als security expert natuurlijk...
necessaryevil @mphilipp22 september 2012 15:56
Die dingen mogen erg onwaarschijnlijk lijken, maar hou dan wel in de gaten dat Oracle een groot bedrijf is. Daardoor kan er wat meer interesse zijn om de boel te hacken.

Als het om een hack gaat waar flink wat geld mee gemoeid is dan lijkt het wachten totdat de zon en de maan en het water in Venezuela in de goeie stand staan ineens niet meer zo lang te duren.
Anoniem: 94185 22 september 2012 02:27
ik kon dit al langer hoor... scott - tiger
com2,1ghz 21 september 2012 14:31
En hoeveel miljoen kostte dit pakket ookalweer?
codebeat @com2,1ghz21 september 2012 14:37
Zat ik ook te denken ja. Schandalig dat de vorige versie van protocol geen update krijgt, in feite word je dan gedwongen over te stappen op nieuw als je de boel veilig wenst te houden. Wie gaat dat allemaal betalen die updates? Vind dat daar altijd veel te gemakkelijk over gedacht wordt bij grote software bedrijven.

[Reactie gewijzigd door codebeat op 25 juli 2024 01:03]

page404 @codebeat21 september 2012 14:45
als je je gegevens echt veilig wil houden, is het in ieder geval niet verstandig om je database rechtstreeks benaderbaar vanaf het internet te maken. En dat is waar we het hier over hebben.
Wel verstandig is om er een applicatieserver of een andere toegangslaag (zoals applicatiesoftware) voor te zetten die op zijn beurt toegang tot de gegevens heeft.
tympie @page40421 september 2012 18:41
Nee, het gaat hier niet om toegang vanaf het internet, want als het goed is kun je van buitenaf al helemaal niet bij de databases komen.
Het gaat hier om toegang vanaf bijvoorbeeld het bedrijfs-intranet, via hetzelfde netwerk-protocol als waarmee Oracle client applicaties connectie maken met de database. Wat je kunt doen (naast het forceren van het gebruik van een bepaalde protocol-versie), is inderdaad gebruik maken van applicatie-servers, en (bijvoorbeeld mbv een firewall) ervoor zorgen dat ook alleen die servers connectie kunnen maken met de database. Applicatie-software op zich helpt niet, want als die gewoon op de client-pc's draait, moeten die dus verbinding kunnen maken met de database, en dat betekent dat je vanaf die pc's ook deze hack zou kunnen uitvoeren.

Da's ook gelijk een probleem voor veel bedrijven, denk ik: een geconsolideerde omgeving, waarbij het niet mogelijk is om een database-server dusdanig dicht te zetten dat alleen enkele specifieke applicatie-servers er nog bij kunnen, omdat sommige applicaties nou eenmaal op de client-laag draaien. En waarbij je ook niet even een bepaalde protocol-versie kunt forceren, omdat niet alle clients dat qua software-versie ondersteunen.

[Reactie gewijzigd door tympie op 25 juli 2024 01:03]

codebeat @page40421 september 2012 17:19
Snap het, is ook veel verstandiger maar toch.....

Leuke naam trouwens: page404.
page404 @com2,1ghz21 september 2012 14:37
De XE editie is gratis voor commercieel gebruik, hoezo? :+
Xantios 21 september 2012 14:24
Goed bezig Oracle, hoe rot ik het bedrijf ook vind!
Dit doen ze dan nog redelijk netjes.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq