Tags:
Node Thumbnail

Esteban Martinez Fayo นักวิจัยด้านความปลอดภัยของบริษัท AppSec ได้นำเสนอช่องโหว่ใหม่ที่เกิดขึ้นบนโปรโตคอลที่ใช้ในการล็อกอินของ Oracle DB ที่จะช่วยให้ผู้ใช้ช่องโหว่นี้ในการโจมตีสามารถเข้าถึงฐานข้อมูลได้ผ่านทางการโจมตีแบบ bruce-force attack โดยช่องโหว่นี้เกิดขึ้นได้เพียงแค่ผู้โจมตีรู้ถึงชื่อผู้ใช้งานที่ถูกต้องของฐานข้อมูลและชื่อของฐานข้อมูล

หลักการของช่องโหว่นี้คือระบบพิสูจน์ตัวตนของฐานข้อมูลจะส่ง session key และ salt มาก่อนที่การพิสูจน์ตัวตนจะเสร็จสิ้น ซึ่งถ้าผู้โจมตีสามารถปิดการเชื่อมต่อได้ทันทีหลังจากได้รับ session key ระบบก็จะไม่สามารถเก็บล็อกไฟล์จากการพยายามล็อกอินครั้งนั้นได้เพราะถือว่าเป็นการล็อกอินที่ยังไม่เสร็จสิ้น หลังจากนั้นผู้โจมตีก็จะทำการ bruce-force attack กับตัว session key เพื่อให้ได้มาซึ่งรหัสผ่าน

Fayo กล่าวเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่าเป็นข้อบกพร่องในการเข้ารหัสลับของระบบพิสูจน์ตัวตนของฐานข้อมูล อีกทั้งยังบอกด้วยว่าการที่จะได้มาซึ่งข้อมูลเช่นชื่อผู้ใช้งานหรือชื่อของฐานข้อมูลนั้นไม่จำเป็นต้องใช้ man-in-the-middle attack หรือการ spoof ใดๆ เลย เพราะฐานข้อมูลมีจุดที่ข้อมูลเหล่านี้รั่วไหลออกมาอยู่แล้ว ในการทดสอบนั้น Fayo ใช้เพียงสคริปต์ที่เขาพัฒนาขึ้นและคอมพิวเตอร์ทั่วไปโดยใช้เวลาในการโจมตีทั้งหมด 5 ชั่วโมง ผลลัพธ์ก็คือ เขาสามารถล็อกอินเข้าสู่ชื่อผู้ใช้งานนั้นๆ ได้ทันที

ช่องโหว่นี้ได้รับการแพตซ์แล้วในเวอร์ชัน 12 แต่ยังพบในเวอร์ชัน 11.1 อยู่

ที่มา - Threatpost

Get latest news from Blognone

Comments

By: lingjaidee
ContributoriPhoneAndroid
on 22 September 2012 - 22:38 #478108
lingjaidee's picture

ข่าวนี้อาจจะต้องเอาไปโพสเป็นคอมเม้นท์ใน featured ข้างบนหรือเปล่าครับ ;D


my blog

By: SomeThing
Windows
on 24 September 2012 - 09:58 #478789

ก็ยังงงๆ อยู่ครับ ปกติ Session key มันถูกสุ่มมาไม่ใช่หรอครับ ตามที่ผมเข้าใจ แต่จากข่าวมันใช้ประโยคว่า

"This is very similar to a SHA-1 password hash cracking."

พูดเหมือนกันกับว่า Session key นั้นถูกคำนวณมาจากพาสจริงๆ ของผู้ใช้เลยนะครับ

By: Invisible Force
ContributoriPhoneAndroidUbuntu
on 24 September 2012 - 10:16 #478808
Invisible Force's picture

"bruCe-force" ==> "bruTe-force" คำว่าบูรท ต้องใช้ตัว T ครับ