Oracle 數(shù)據(jù)庫經(jīng)歷了幾十年的演進��,無數(shù)個版本更新和漏洞修復(fù)���,但天下沒有無懈可擊的完美程序�,風(fēng)險仍然存在��,并且往往是多個角度和多個層面共同作用的結(jié)果����。我們曾使用數(shù)據(jù)庫掃描工具為用戶數(shù)據(jù)庫進行安全檢查,發(fā)現(xiàn)在Oracle的數(shù)據(jù)庫運維中存在很多問題���,包括:弱口令�、默認密碼���、數(shù)據(jù)庫后門���、數(shù)據(jù)庫配置不當、敏感數(shù)據(jù)、高危審計�����、版本失去安全支持���、數(shù)據(jù)庫漏洞以及數(shù)據(jù)庫勒索病毒等�。這些安全風(fēng)險的存在讓數(shù)據(jù)泄露或被篡改等安全事件一觸即發(fā)��。
11月21日20:00�����,安華金和攻防實驗室安全專家劉思成作客雷鋒網(wǎng)�,直播講解《Oracle數(shù)據(jù)庫攻防案例分享》�,通過數(shù)據(jù)庫攻防實戰(zhàn)演練,介紹數(shù)據(jù)庫運維側(cè)可能存在的安全風(fēng)險和隱患���。今天我們將公開課內(nèi)容分享出來�,希望能為數(shù)據(jù)庫運維人員提供參考�����,進一步提高數(shù)據(jù)庫安全運維能力。
目前�,運維側(cè)最常會遇到的安全問題主要為以下三類:
數(shù)據(jù)庫配置不當
數(shù)據(jù)庫安全漏洞
數(shù)據(jù)庫勒索病毒
數(shù)據(jù)庫配置不當
Oracle數(shù)據(jù)庫存在幾千個參數(shù)配置項,難免出現(xiàn)配置錯誤���。當發(fā)生錯誤配置時����,帶來的安全問題甚至比數(shù)據(jù)庫漏洞造成的后果要嚴重的多���。我們把和安全相關(guān)的數(shù)據(jù)庫配置分為四類:1)參數(shù)設(shè)置不當����;2)角色設(shè)置不當���;3)系統(tǒng)權(quán)限設(shè)置不當�;4)包權(quán)限設(shè)置不當�。
1)參數(shù)設(shè)置不當
這是針對所有數(shù)據(jù)庫用戶而言,參數(shù)錯誤的設(shè)置可能會給漏洞提供溫床�����,也可能本身就能當作漏洞執(zhí)行���。
2)角色權(quán)限設(shè)置不當
角色權(quán)限設(shè)置不當:當角色被賦予低權(quán)限用戶��,相當于交出了完整的java權(quán)限��,可以讓低權(quán)限用戶通過Oracle 賬號權(quán)限獲得操作系統(tǒng)的操作權(quán)限�,從而可在操作系統(tǒng)上為所欲為。
3)系統(tǒng)權(quán)限設(shè)置不當
系統(tǒng)權(quán)限設(shè)置不當一旦出現(xiàn)��,這種情況就更危險了�。執(zhí)行任意存儲過程的權(quán)限一旦被賦予低權(quán)限用戶,后者可以利用某些調(diào)用者權(quán)限存儲過程實現(xiàn)提權(quán)到DBA的目的�����。
4)包權(quán)限設(shè)置不當
包權(quán)限設(shè)置不當也是一件麻煩事兒�。如果把包權(quán)限給了低權(quán)限用戶��,低權(quán)限用戶就可以利用語句以SYS權(quán)限調(diào)用執(zhí)行計劃函數(shù)�,從而有機會執(zhí)行任意sql語句。
防護建議
1)嚴格按照Oracle官方網(wǎng)站的建議進行配置�����,切莫簡單滿足應(yīng)用需求�,而自毀長城����。
2)對所有賬號實施最小權(quán)限控制��。尤其是對于第三方開發(fā)調(diào)試所給予的數(shù)據(jù)賬號密碼一定要保持滿足需求下的最小權(quán)限�,最小權(quán)限將有效的減小數(shù)據(jù)庫被入侵的威脅。
3)禁止或刪除數(shù)據(jù)庫對OS文件訪問的函數(shù)或存儲過程����,避免殃及整個數(shù)據(jù)庫所在的操作系統(tǒng)和內(nèi)網(wǎng)環(huán)境。
參照以上三條安全防護建議����,90%的安全問題都可迎刃而解。此外�,還有一種更省事的辦法,就是直接用成熟的數(shù)據(jù)庫漏掃產(chǎn)品進行定期檢查����。鏈接為安華金和數(shù)據(jù)庫漏掃的一個免費版,大家可以拿去試用�。http://www.dbscloud.cn/dbscan.html
數(shù)據(jù)庫安全漏洞
數(shù)據(jù)庫漏洞威脅一直是數(shù)據(jù)庫的嚴重威脅。從不同角度來看數(shù)據(jù)庫存在多種不同分類方式��,按照漏洞屬性分�,數(shù)據(jù)庫漏洞大體分為兩種類型:第一是數(shù)據(jù)庫專有漏洞���,第二類是通用性軟件漏洞。
上圖基本涵蓋了最主流的數(shù)據(jù)庫漏洞類型���。當兩個中危漏洞組合使用�����,往往會產(chǎn)生高危漏洞的效果�����。以中危漏洞CVE-2012-1675和CVE-2012-3137漏洞組合攻擊為例�����。兩個漏洞和數(shù)據(jù)庫通訊協(xié)議密切相關(guān)�����,一旦被黑客利用,可以借此從網(wǎng)絡(luò)端對Oracle 數(shù)據(jù)庫發(fā)動攻擊�。
黑客組合使用該漏洞組合可以分為三步:依次為探、改����、破����。
第一步:探����。利用CVE-2012-1675 竊聽用戶客戶端和數(shù)據(jù)庫之間的通訊內(nèi)容,盜取數(shù)據(jù)��;
第二步:改����。利用代理轉(zhuǎn)發(fā)機制,對特定語句進行改包���,以此返回黑客想盜取的信息�;
第三步:破���。通過網(wǎng)絡(luò)竊取拿到數(shù)據(jù)庫登錄包的身份驗證部分��,再利用CVE-2012-3137漏洞進行離線暴力破解���,拿到數(shù)據(jù)庫的用戶名和密碼���。
防護建議
1)如果允許第一時間內(nèi)打補丁是非常必要的。官方補丁能解決95%的問題���,攻擊數(shù)據(jù)庫經(jīng)常都是用的很老的漏洞����,0day比例就很小��。
2)如果由于測試結(jié)果或環(huán)境的問題無法打補丁���,那么只能采用具備虛擬補丁能力的數(shù)據(jù)庫防火墻產(chǎn)品進行加固�,虛擬補丁通過規(guī)則可以防護大部分已知數(shù)據(jù)庫漏洞的攻擊��。
數(shù)據(jù)庫勒索病毒
數(shù)據(jù)庫勒索病毒是目前最為常見�,也最為危險的數(shù)據(jù)庫攻擊方式。其中�����,和數(shù)據(jù)庫有關(guān)系的主要有三種:
1)客戶端軟件比特幣勒索����;
2)Oracle 升級包惡意腳本;
3)文件系統(tǒng)加密比特幣勒索��。
文件系統(tǒng)加密相對來說��,和數(shù)據(jù)庫關(guān)系沒那么緊密���。這種類型基本只在windows上遇到過��,不過據(jù)悉已經(jīng)在linux上出現(xiàn)�。該病毒的勒索目標主要是文件系統(tǒng)上的一些特定后綴的文件���。根據(jù)和數(shù)據(jù)庫相關(guān)的程度可以分為三種:不加密數(shù)據(jù)文件��、只加密文件頭 和文件整體加密��。防護此類攻擊的最佳方式即做好備份工作����。
而與客戶端勒索病毒類似的Oracle升級包惡意腳本���,兩者手法基本完全一致����。客戶端勒索病毒主要存在于客戶端的一些自動執(zhí)行腳本中��,這些惡意腳本如果被放在升級包中就成了Oracle 升級包惡意腳本�����。
防護建議
1)無論是客戶端還是升級包都請從正規(guī)渠道下載�,并計算MD5值千萬別用破解版,免費的結(jié)果是省了小錢丟了數(shù)據(jù)��。
2)利用數(shù)據(jù)庫防火墻等類似產(chǎn)品對勒索病毒進行傳播阻斷��,需要選用有上下文判斷能力的成熟防火墻產(chǎn)品�。
3)定期使用數(shù)據(jù)庫漏掃工具進行查殺,排除安全隱患�����。
產(chǎn)品咨詢:4000 258 365 
