Forscher: Oracle-Datenbanken sind leicht zu hacken

Sicherheitsforscher Esteban Martinez Fayo von AppSec hat gezeigt, wie einfach sich Oracle-Datenbanken hacken lassen. Kaspersky Lab fasst seinen in Argentinien gehaltenen Vortrag zusammen. Demnach benötigt er nur fünf Stunden und ein selbst geschriebenes Werkzeug, um den Passwortschutz zu umgehen und auf Nutzerdaten zuzugreifen.

„Es ist ziemlich einfach“, sagte Martinez Fayo dem Blog Dark Reading. „Der Angreifer muss nur einen gültigen Nutzernamen der Datenbank kennen und den Namen der Datenbank selbst. Das ist alles.“ Schuld sei ein Fehler im kryptografischen Verfahren von Oracles Passwort-Authentifizierung, der einen Brute-Force-Angriff extrem vereinfache. Man benötige nicht einmal einen „Man in the Middle“, um eine Vielzahl von Nutzern vorzutäuschen – der Server stelle dem Angreifer selbst wichtige Informationen zur Verfügung.

Oracle haben der Forscher und sein Team nach ihren Angaben erstmals im Mai 2010 über das Problem informiert. Im Jahr darauf sei es behoben worden – aber nicht in der aktuellen Version, sodass 11.1 und 11.2 noch für den Angriff anfällig sind. Die kürzlich vorgestellte Version 12 wiederum enthält die Lücke nicht mehr.

Allerdings können Firmen, die die anfälligen Versionen nutzen, einen Workaround implementieren: „Schalten Sie das Protokoll in Version 11.1 aus und nutzen Sie stattdessen eine ältere Version, etwa 10g.“ Das halte er für eine extrem wichtige Maßnahme.

Im Januar hatte Oracle 78 Softwarefehler in seinen Produkten behoben, die unter anderem ein Eindringen in die Datenbank aus der Ferne ermöglichten. Daneben ist Java ein weiteres Problemkind des Konzerns. In dem Sicherheitsupdate Java 7 Update 7 wurde kürzlich wenige Stunden nach Veröffentlichung wieder eine Lücke gefunden.

[mit Material von Dara Kerr, News.com]