Oracle 數(shù)據(jù)庫經(jīng)歷了幾十年的演進(jìn),無數(shù)個版本更新和漏洞修復(fù)����,但天下沒有無懈可擊的完美程序,風(fēng)險仍然存在�����,并且往往是多個角度和多個層面共同作用的結(jié)果�����。我們曾使用數(shù)據(jù)庫掃描工具為用戶數(shù)據(jù)庫進(jìn)行安全檢查��,發(fā)現(xiàn)在Oracle的數(shù)據(jù)庫運(yùn)維中存在很多問題,包括:弱口令�、默認(rèn)密碼、數(shù)據(jù)庫后門�、數(shù)據(jù)庫配置不當(dāng)、敏感數(shù)據(jù)�����、高危審計、版本失去安全支持���、數(shù)據(jù)庫漏洞以及數(shù)據(jù)庫勒索病毒等����。這些安全風(fēng)險的存在讓數(shù)據(jù)泄露或被篡改等安全事件一觸即發(fā)����。
11月21日20:00,安華金和攻防實(shí)驗(yàn)室安全專家劉思成作客雷鋒網(wǎng)��,直播講解《Oracle數(shù)據(jù)庫攻防案例分享》���,通過數(shù)據(jù)庫攻防實(shí)戰(zhàn)演練��,介紹數(shù)據(jù)庫運(yùn)維側(cè)可能存在的安全風(fēng)險和隱患���。今天我們將公開課內(nèi)容分享出來,希望能為數(shù)據(jù)庫運(yùn)維人員提供參考��,進(jìn)一步提高數(shù)據(jù)庫安全運(yùn)維能力���。
目前�,運(yùn)維側(cè)最常會遇到的安全問題主要為以下三類:
數(shù)據(jù)庫配置不當(dāng)
數(shù)據(jù)庫安全漏洞
數(shù)據(jù)庫勒索病毒
數(shù)據(jù)庫配置不當(dāng)
Oracle數(shù)據(jù)庫存在幾千個參數(shù)配置項(xiàng),難免出現(xiàn)配置錯誤��。當(dāng)發(fā)生錯誤配置時�,帶來的安全問題甚至比數(shù)據(jù)庫漏洞造成的后果要嚴(yán)重的多。我們把和安全相關(guān)的數(shù)據(jù)庫配置分為四類:1)參數(shù)設(shè)置不當(dāng)�;2)角色設(shè)置不當(dāng);3)系統(tǒng)權(quán)限設(shè)置不當(dāng)��;4)包權(quán)限設(shè)置不當(dāng)���。
1)參數(shù)設(shè)置不當(dāng)
這是針對所有數(shù)據(jù)庫用戶而言�����,參數(shù)錯誤的設(shè)置可能會給漏洞提供溫床��,也可能本身就能當(dāng)作漏洞執(zhí)行����。
2)角色權(quán)限設(shè)置不當(dāng)
角色權(quán)限設(shè)置不當(dāng):當(dāng)角色被賦予低權(quán)限用戶�,相當(dāng)于交出了完整的java權(quán)限���,可以讓低權(quán)限用戶通過Oracle 賬號權(quán)限獲得操作系統(tǒng)的操作權(quán)限�����,從而可在操作系統(tǒng)上為所欲為��。
3)系統(tǒng)權(quán)限設(shè)置不當(dāng)
系統(tǒng)權(quán)限設(shè)置不當(dāng)一旦出現(xiàn)���,這種情況就更危險了�。執(zhí)行任意存儲過程的權(quán)限一旦被賦予低權(quán)限用戶���,后者可以利用某些調(diào)用者權(quán)限存儲過程實(shí)現(xiàn)提權(quán)到DBA的目的�。
4)包權(quán)限設(shè)置不當(dāng)
包權(quán)限設(shè)置不當(dāng)也是一件麻煩事兒����。如果把包權(quán)限給了低權(quán)限用戶,低權(quán)限用戶就可以利用語句以SYS權(quán)限調(diào)用執(zhí)行計劃函數(shù)����,從而有機(jī)會執(zhí)行任意sql語句。
防護(hù)建議
1)嚴(yán)格按照Oracle官方網(wǎng)站的建議進(jìn)行配置���,切莫簡單滿足應(yīng)用需求�����,而自毀長城���。
2)對所有賬號實(shí)施最小權(quán)限控制��。尤其是對于第三方開發(fā)調(diào)試所給予的數(shù)據(jù)賬號密碼一定要保持滿足需求下的最小權(quán)限��,最小權(quán)限將有效的減小數(shù)據(jù)庫被入侵的威脅��。
3)禁止或刪除數(shù)據(jù)庫對OS文件訪問的函數(shù)或存儲過程��,避免殃及整個數(shù)據(jù)庫所在的操作系統(tǒng)和內(nèi)網(wǎng)環(huán)境�����。
參照以上三條安全防護(hù)建議���,90%的安全問題都可迎刃而解。此外�����,還有一種更省事的辦法����,就是直接用成熟的數(shù)據(jù)庫漏掃產(chǎn)品進(jìn)行定期檢查。鏈接為安華金和數(shù)據(jù)庫漏掃的一個免費(fèi)版��,大家可以拿去試用���。http://www.dbscloud.cn/dbscan.html
數(shù)據(jù)庫安全漏洞
數(shù)據(jù)庫漏洞威脅一直是數(shù)據(jù)庫的嚴(yán)重威脅��。從不同角度來看數(shù)據(jù)庫存在多種不同分類方式�����,按照漏洞屬性分�,數(shù)據(jù)庫漏洞大體分為兩種類型:第一是數(shù)據(jù)庫專有漏洞����,第二類是通用性軟件漏洞。
上圖基本涵蓋了最主流的數(shù)據(jù)庫漏洞類型�����。當(dāng)兩個中危漏洞組合使用�����,往往會產(chǎn)生高危漏洞的效果。以中危漏洞CVE-2012-1675和CVE-2012-3137漏洞組合攻擊為例�。兩個漏洞和數(shù)據(jù)庫通訊協(xié)議密切相關(guān),一旦被黑客利用��,可以借此從網(wǎng)絡(luò)端對Oracle 數(shù)據(jù)庫發(fā)動攻擊��。
黑客組合使用該漏洞組合可以分為三步:依次為探����、改、破�。
第一步:探。利用CVE-2012-1675 竊聽用戶客戶端和數(shù)據(jù)庫之間的通訊內(nèi)容��,盜取數(shù)據(jù)��;
第二步:改�����。利用代理轉(zhuǎn)發(fā)機(jī)制���,對特定語句進(jìn)行改包�,以此返回黑客想盜取的信息��;
第三步:破。通過網(wǎng)絡(luò)竊取拿到數(shù)據(jù)庫登錄包的身份驗(yàn)證部分�����,再利用CVE-2012-3137漏洞進(jìn)行離線暴力破解��,拿到數(shù)據(jù)庫的用戶名和密碼��。
防護(hù)建議
1)如果允許第一時間內(nèi)打補(bǔ)丁是非常必要的���。官方補(bǔ)丁能解決95%的問題,攻擊數(shù)據(jù)庫經(jīng)常都是用的很老的漏洞���,0day比例就很小��。
2)如果由于測試結(jié)果或環(huán)境的問題無法打補(bǔ)丁���,那么只能采用具備虛擬補(bǔ)丁能力的數(shù)據(jù)庫防火墻產(chǎn)品進(jìn)行加固,虛擬補(bǔ)丁通過規(guī)則可以防護(hù)大部分已知數(shù)據(jù)庫漏洞的攻擊��。
數(shù)據(jù)庫勒索病毒
數(shù)據(jù)庫勒索病毒是目前最為常見���,也最為危險的數(shù)據(jù)庫攻擊方式���。其中����,和數(shù)據(jù)庫有關(guān)系的主要有三種:
1)客戶端軟件比特幣勒索�;
2)Oracle 升級包惡意腳本;
3)文件系統(tǒng)加密比特幣勒索�����。
文件系統(tǒng)加密相對來說�,和數(shù)據(jù)庫關(guān)系沒那么緊密。這種類型基本只在windows上遇到過�����,不過據(jù)悉已經(jīng)在linux上出現(xiàn)����。該病毒的勒索目標(biāo)主要是文件系統(tǒng)上的一些特定后綴的文件。根據(jù)和數(shù)據(jù)庫相關(guān)的程度可以分為三種:不加密數(shù)據(jù)文件����、只加密文件頭 和文件整體加密。防護(hù)此類攻擊的最佳方式即做好備份工作。
而與客戶端勒索病毒類似的Oracle升級包惡意腳本��,兩者手法基本完全一致�。客戶端勒索病毒主要存在于客戶端的一些自動執(zhí)行腳本中��,這些惡意腳本如果被放在升級包中就成了Oracle 升級包惡意腳本��。
防護(hù)建議
1)無論是客戶端還是升級包都請從正規(guī)渠道下載�,并計算MD5值千萬別用破解版��,免費(fèi)的結(jié)果是省了小錢丟了數(shù)據(jù)�����。
2)利用數(shù)據(jù)庫防火墻等類似產(chǎn)品對勒索病毒進(jìn)行傳播阻斷�����,需要選用有上下文判斷能力的成熟防火墻產(chǎn)品��。
3)定期使用數(shù)據(jù)庫漏掃工具進(jìn)行查殺���,排除安全隱患����。
產(chǎn)品咨詢:4000 258 365 
