|
甲骨文公司對(duì)導(dǎo)致Oracle TNS Listener毒藥攻擊的零日漏洞處理方式����,讓很多管理員感到困惑����,他們不知道該對(duì)數(shù)據(jù)庫采取什么安全措施����。在本文中,我們將研究TNS Listener漏洞的運(yùn)作原理����,分析Oracle的回應(yīng)以及企業(yè)是否應(yīng)該調(diào)整其網(wǎng)絡(luò)防御系統(tǒng)以更好地保護(hù)其數(shù)據(jù)庫。
TNS Listener漏洞
這個(gè)特殊的漏洞很容易被利用����,并允許攻擊者執(zhí)行中間人攻擊以獲取對(duì)數(shù)據(jù)庫服務(wù)器的完全控制:它的嚴(yán)重程度取決于對(duì)它的攻擊深度。該漏洞暴露了TNS Listener服務(wù)����,此服務(wù)將來自客戶端的連接請(qǐng)求路由到所有版本的Oracle數(shù)據(jù)庫的服務(wù)器中。安全研究人員Joxean Loret在2008年發(fā)現(xiàn)了這個(gè)漏洞����,并向Oracle報(bào)告了此漏洞����。四年后����,他發(fā)布了該漏洞的細(xì)節(jié)信息,因?yàn)樗詾镺racle已經(jīng)解決了這個(gè)問題����。
然而,Oracle最近才針對(duì)漏洞CVE-2012-1675發(fā)布了一個(gè)帶外安全警告����。并且,這只是一個(gè)解決方法����,而不是一個(gè)補(bǔ)丁,它提供了保護(hù)TNS Listener和抵御利用該漏洞發(fā)起的攻擊的指導(dǎo)信息����。2012年4月Oracle關(guān)鍵補(bǔ)丁更新也沒有包含針對(duì)該漏洞的補(bǔ)丁。Oracle對(duì)于發(fā)布解決方案而不是補(bǔ)丁����,給出了以下原因:
這個(gè)補(bǔ)丁很復(fù)雜����,這將嚴(yán)重影響“向后移植(backport)”或傳統(tǒng)安裝����。
這個(gè)補(bǔ)丁是存在回歸問題的代碼的關(guān)鍵部分����。
客戶要求Oracle不要涵蓋安全補(bǔ)丁,因?yàn)樵撗a(bǔ)丁將會(huì)增加回歸到CPU的機(jī)會(huì)����,而這可能危及數(shù)據(jù)庫的穩(wěn)定性。
Oracle TNS Listener毒藥攻擊漏洞可能多年來都存在于所有版本的Oracle數(shù)據(jù)庫平臺(tái)中����,但這個(gè)漏洞只有在下一個(gè)主要版本推出時(shí)才可能會(huì)被修復(fù)。在那之前����,管理員必須采用Oracle提供的解決方法,沒有使用該解決方法的Oracle客戶很容易受到遠(yuǎn)程未授權(quán)攻擊者的攻擊����。
如果在這個(gè)解決方法發(fā)布之前可能已經(jīng)發(fā)生了攻擊呢����?不幸的事實(shí)是����,惡意攻擊者也許已經(jīng)獨(dú)立地發(fā)現(xiàn)這個(gè)Oracle TNS Listener毒藥攻擊漏洞,并可能多年來都利用它來攻擊企業(yè)數(shù)據(jù)庫����,而管理員可能從來都沒有發(fā)現(xiàn)。
在過去����,企業(yè)將不得不進(jìn)行取證調(diào)查以及分析歸檔日志文件,看看是否可以檢測(cè)到異常命令或者網(wǎng)絡(luò)流量來證明有人成功利用了這個(gè)漏洞����。原漏洞通知時(shí)間和Oracle采取的并非完全令人信服的行動(dòng)時(shí)間這么久,也讓一些安全專家質(zhì)疑Oracle還知道哪些其他漏洞而選擇不修復(fù)����。
這種情況也闡明了為什么計(jì)算機(jī)安全專家在美國參議院軍事委員會(huì)新興威脅和功能小組委員會(huì),告訴成員要假設(shè)美國軍方計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)被滲透的原因����,基于這個(gè)前提����,安全工作應(yīng)更專注于保護(hù)敏感數(shù)據(jù)����,而不是控制訪問權(quán)限。這些意見不是這個(gè)漏洞的結(jié)果����,而是基于大型企業(yè)發(fā)生的數(shù)據(jù)泄露事故數(shù)量����,它們的系統(tǒng)已經(jīng)被感染幾個(gè)月甚至幾年。
使用網(wǎng)絡(luò)外圍作為數(shù)據(jù)庫防御
盡管如此����,管理員仍然不應(yīng)該放棄其外圍防御。相反地����,在這些防御的基礎(chǔ)上,還應(yīng)該采用謹(jǐn)慎的網(wǎng)絡(luò)分段����,并為數(shù)據(jù)庫連接強(qiáng)制使用SSL和傳輸層安全加密����。預(yù)防永遠(yuǎn)好過補(bǔ)救����,穩(wěn)妥的企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該假定:在網(wǎng)絡(luò)某處存在被感染的系統(tǒng),惡意軟件正試圖通過該系統(tǒng)收集和滲出重要數(shù)據(jù)到遠(yuǎn)程命令控制中心����。
為了反映這一現(xiàn)實(shí),安全團(tuán)隊(duì)必須重新調(diào)整其優(yōu)先次序����、資源和時(shí)間。他們應(yīng)該確保分配足夠的時(shí)間和技術(shù)(例如數(shù)據(jù)丟失防護(hù))來尋找可疑內(nèi)部流量����,并在當(dāng)出現(xiàn)不符合安全政策的請(qǐng)求時(shí),防止數(shù)據(jù)離開網(wǎng)絡(luò)����。
開源工具Hone可用于追蹤企業(yè)內(nèi)可疑惡意活動(dòng)的來源。Hone由美國能源部下屬太平洋西北國家實(shí)驗(yàn)室發(fā)布����,它是一個(gè)網(wǎng)絡(luò)活動(dòng)可視化工具����,通過跟蹤流量到產(chǎn)生流量的應(yīng)用����,Hone能夠幫助網(wǎng)絡(luò)經(jīng)理更好地識(shí)別和理解攻擊,并幫助管理員更快地識(shí)別感染來源����。
隨著軟件代碼變得越來越復(fù)雜,供應(yīng)商不能快速提供漏洞補(bǔ)丁的請(qǐng)擴(kuò)將會(huì)越來越多����。Oracle對(duì)TNS Listener毒藥攻擊的處理方式充分說明:在供應(yīng)商發(fā)布下一個(gè)修復(fù)補(bǔ)丁之前����,企業(yè)不能坐以待斃����;谶@個(gè)前提,企業(yè)必須重新調(diào)整安全防御措施����,監(jiān)控和控制傳入和傳出流量����,以彌補(bǔ)關(guān)鍵業(yè)務(wù)企業(yè)應(yīng)用的不足����。
本文出自:億恩科技【prubsntakaful.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
