2 november 2005

Kornbrust, wel bekend van zijn onderzoek naar de veiligheid van Oracle
producten, publiceerde zijn eigen analyse van de wormcode en maakte
duidelijk dat het gebruik van default gebruiksnamen en wachtwoorden een
database administrator open stelt voor iedere vijandige aanval. Het
zegt dat de worm UTL_TCP gebruikt om een commando te verzenden naar
ieder IP-adres dat in de zelfde range is als het IP-adres wat door de
database wordt gebruikt. Als een database gevonden wordt op het
betreffende adres maakt de worm een een database-link aan en probeert
met die link in contact te komen door gebruik te maken van bekende
default gebruikersnaam-wachtwoord modellen. ‘At the moment, it just
creates a table in the [remote] database if the attack is successful.
But, it can be programmed to do much more than that. It’s quite easy to
replace this payload with a more dangerous
payload’, zo stelt Kornbrust. Volgens hem is de code bewust incompleet
gepubliceerd, om op die manier als rode vlag te dienen voor al die
databasebeheerders die het veranderen van default gebruiksnamen en
wachtwoorden voortdurend negeren. ‘For an attack to be successful, the
worm requires the user to have local access. It is not capable of
replicating itself. This proof-of-concept absolutely works and, in this
particular case, Oracle is innocent’, zo gaat Kornbrust verder. Hij
benadrukt hiermee dat de gebruikers verantwoordelijk zijn voor het
gebruiken van sterke wachtwoord-schema’s in databaseproducten. ‘In this
environment, it is not acceptable to have databases with default
defaults. This worm proves that. From my experience, most customers
still use default passwords. They may have them changed in some
databases, but I’d say at least 60
percent of all customers have at least a few databases with default
passwords. If someone combines a Windows worm with an Oracle worm,
we’ll see a huge attack with enormous damage. The Windows worm can be
jumping from one workstation to another workstation worldwide and using
an Oracle worm as a payload’, zo stelt Kornbrust. Ted Julian, van
Application Security, zegt dat de gecompliceerde aard van het
tegelijkertijd managen van vele databases lucratieve mogelijkheden
biedt voor schrijvers van wormen. ‘In a big company, it’s safe to
assume that 100 percent of admins are running some databases with
default usernames and passwords. It’s just impossible to keep up with
literally thousands of databases’. Ook hij verwacht het verschijnen van
een gevaarlijke Oracle worm. ‘Eventually, we’ll see someone modify the
exploits and launch an attack. This proof-of-concept shows that it’s
getting easier and easier. What if you put in a payload to create an
admin account? What if that account is set up to mail information back
to an IRC server about all the databases that are infected. What if
that account is just set up to hijack data in an automated fashion?
That would be a stealthy way of using an exploit to gather data’, zo
voegt Julian er aan toe. Kornbrust geeft een paar duidelijke
beveiligingsvoorstellen voor database-beheerders. Simpel uit te voeren handelingen. Wij raden iedere beheerder aan deze
instellingen zo snel mogelijk aan te brengen. Het grootste deel van de
organisatie-databases is van Oracle; nu deze worm bekend is dienen de
data daarin zo goed mogelijk te worden beveiligd.