Oracle 數(shù)據(jù)庫經(jīng)歷了幾十年的演進(jìn)�,無數(shù)個(gè)版本更新和漏洞修復(fù),但天下沒有無懈可擊的完美程序����,風(fēng)險(xiǎn)仍然存在,并且往往是多個(gè)角度和多個(gè)層面共同作用的結(jié)果����。我們曾使用數(shù)據(jù)庫掃描工具為用戶數(shù)據(jù)庫進(jìn)行安全檢查,發(fā)現(xiàn)在Oracle的數(shù)據(jù)庫運(yùn)維中存在很多問題��,包括:弱口令�、默認(rèn)密碼、數(shù)據(jù)庫后門����、數(shù)據(jù)庫配置不當(dāng)����、敏感數(shù)據(jù)、高危審計(jì)���、版本失去安全支持����、數(shù)據(jù)庫漏洞以及數(shù)據(jù)庫勒索病毒等��。這些安全風(fēng)險(xiǎn)的存在讓數(shù)據(jù)泄露或被篡改等安全事件一觸即發(fā)����。
11月21日20:00,安華金和攻防實(shí)驗(yàn)室安全專家劉思成作客雷鋒網(wǎng)�����,直播講解《Oracle數(shù)據(jù)庫攻防案例分享》,通過數(shù)據(jù)庫攻防實(shí)戰(zhàn)演練,介紹數(shù)據(jù)庫運(yùn)維側(cè)可能存在的安全風(fēng)險(xiǎn)和隱患����。今天我們將公開課內(nèi)容分享出來��,希望能為數(shù)據(jù)庫運(yùn)維人員提供參考�����,進(jìn)一步提高數(shù)據(jù)庫安全運(yùn)維能力����。
目前,運(yùn)維側(cè)最常會遇到的安全問題主要為以下三類:
數(shù)據(jù)庫配置不當(dāng)
數(shù)據(jù)庫安全漏洞
數(shù)據(jù)庫勒索病毒
數(shù)據(jù)庫配置不當(dāng)
Oracle數(shù)據(jù)庫存在幾千個(gè)參數(shù)配置項(xiàng)���,難免出現(xiàn)配置錯(cuò)誤����。當(dāng)發(fā)生錯(cuò)誤配置時(shí)���,帶來的安全問題甚至比數(shù)據(jù)庫漏洞造成的后果要嚴(yán)重的多�。我們把和安全相關(guān)的數(shù)據(jù)庫配置分為四類:1)參數(shù)設(shè)置不當(dāng)���;2)角色設(shè)置不當(dāng)����;3)系統(tǒng)權(quán)限設(shè)置不當(dāng);4)包權(quán)限設(shè)置不當(dāng)�。
1)參數(shù)設(shè)置不當(dāng)
這是針對所有數(shù)據(jù)庫用戶而言�,參數(shù)錯(cuò)誤的設(shè)置可能會給漏洞提供溫床���,也可能本身就能當(dāng)作漏洞執(zhí)行。
2)角色權(quán)限設(shè)置不當(dāng)
角色權(quán)限設(shè)置不當(dāng):當(dāng)角色被賦予低權(quán)限用戶����,相當(dāng)于交出了完整的java權(quán)限����,可以讓低權(quán)限用戶通過Oracle 賬號權(quán)限獲得操作系統(tǒng)的操作權(quán)限���,從而可在操作系統(tǒng)上為所欲為�。
3)系統(tǒng)權(quán)限設(shè)置不當(dāng)
系統(tǒng)權(quán)限設(shè)置不當(dāng)一旦出現(xiàn),這種情況就更危險(xiǎn)了���。執(zhí)行任意存儲過程的權(quán)限一旦被賦予低權(quán)限用戶���,后者可以利用某些調(diào)用者權(quán)限存儲過程實(shí)現(xiàn)提權(quán)到DBA的目的�。
4)包權(quán)限設(shè)置不當(dāng)
包權(quán)限設(shè)置不當(dāng)也是一件麻煩事兒���。如果把包權(quán)限給了低權(quán)限用戶,低權(quán)限用戶就可以利用語句以SYS權(quán)限調(diào)用執(zhí)行計(jì)劃函數(shù)����,從而有機(jī)會執(zhí)行任意sql語句���。
防護(hù)建議
1)嚴(yán)格按照Oracle官方網(wǎng)站的建議進(jìn)行配置�����,切莫簡單滿足應(yīng)用需求����,而自毀長城�。
2)對所有賬號實(shí)施最小權(quán)限控制��。尤其是對于第三方開發(fā)調(diào)試所給予的數(shù)據(jù)賬號密碼一定要保持滿足需求下的最小權(quán)限���,最小權(quán)限將有效的減小數(shù)據(jù)庫被入侵的威脅����。
3)禁止或刪除數(shù)據(jù)庫對OS文件訪問的函數(shù)或存儲過程,避免殃及整個(gè)數(shù)據(jù)庫所在的操作系統(tǒng)和內(nèi)網(wǎng)環(huán)境�。
參照以上三條安全防護(hù)建議,90%的安全問題都可迎刃而解。此外����,還有一種更省事的辦法����,就是直接用成熟的數(shù)據(jù)庫漏掃產(chǎn)品進(jìn)行定期檢查���。鏈接為安華金和數(shù)據(jù)庫漏掃的一個(gè)免費(fèi)版���,大家可以拿去試用�����。http://www.dbscloud.cn/dbscan.html
數(shù)據(jù)庫安全漏洞
數(shù)據(jù)庫漏洞威脅一直是數(shù)據(jù)庫的嚴(yán)重威脅����。從不同角度來看數(shù)據(jù)庫存在多種不同分類方式�����,按照漏洞屬性分�����,數(shù)據(jù)庫漏洞大體分為兩種類型:第一是數(shù)據(jù)庫專有漏洞��,第二類是通用性軟件漏洞����。
上圖基本涵蓋了最主流的數(shù)據(jù)庫漏洞類型。當(dāng)兩個(gè)中危漏洞組合使用�,往往會產(chǎn)生高危漏洞的效果。以中危漏洞CVE-2012-1675和CVE-2012-3137漏洞組合攻擊為例�。兩個(gè)漏洞和數(shù)據(jù)庫通訊協(xié)議密切相關(guān),一旦被黑客利用�����,可以借此從網(wǎng)絡(luò)端對Oracle 數(shù)據(jù)庫發(fā)動攻擊���。
黑客組合使用該漏洞組合可以分為三步:依次為探��、改�、破。
第一步:探��。利用CVE-2012-1675 竊聽用戶客戶端和數(shù)據(jù)庫之間的通訊內(nèi)容�����,盜取數(shù)據(jù)�����;
第二步:改����。利用代理轉(zhuǎn)發(fā)機(jī)制�����,對特定語句進(jìn)行改包��,以此返回黑客想盜取的信息���;
第三步:破����。通過網(wǎng)絡(luò)竊取拿到數(shù)據(jù)庫登錄包的身份驗(yàn)證部分�,再利用CVE-2012-3137漏洞進(jìn)行離線暴力破解,拿到數(shù)據(jù)庫的用戶名和密碼�。
防護(hù)建議
1)如果允許第一時(shí)間內(nèi)打補(bǔ)丁是非常必要的。官方補(bǔ)丁能解決95%的問題�,攻擊數(shù)據(jù)庫經(jīng)常都是用的很老的漏洞�����,0day比例就很小����。
2)如果由于測試結(jié)果或環(huán)境的問題無法打補(bǔ)丁,那么只能采用具備虛擬補(bǔ)丁能力的數(shù)據(jù)庫防火墻產(chǎn)品進(jìn)行加固,虛擬補(bǔ)丁通過規(guī)則可以防護(hù)大部分已知數(shù)據(jù)庫漏洞的攻擊。
數(shù)據(jù)庫勒索病毒
數(shù)據(jù)庫勒索病毒是目前最為常見,也最為危險(xiǎn)的數(shù)據(jù)庫攻擊方式��。其中�,和數(shù)據(jù)庫有關(guān)系的主要有三種:
1)客戶端軟件比特幣勒索���;
2)Oracle 升級包惡意腳本;
3)文件系統(tǒng)加密比特幣勒索�����。
文件系統(tǒng)加密相對來說���,和數(shù)據(jù)庫關(guān)系沒那么緊密。這種類型基本只在windows上遇到過��,不過據(jù)悉已經(jīng)在linux上出現(xiàn)��。該病毒的勒索目標(biāo)主要是文件系統(tǒng)上的一些特定后綴的文件���。根據(jù)和數(shù)據(jù)庫相關(guān)的程度可以分為三種:不加密數(shù)據(jù)文件����、只加密文件頭 和文件整體加密��。防護(hù)此類攻擊的最佳方式即做好備份工作���。
而與客戶端勒索病毒類似的Oracle升級包惡意腳本�,兩者手法基本完全一致�����?���?蛻舳死账鞑《局饕嬖谟诳蛻舳说囊恍┳詣訄?zhí)行腳本中,這些惡意腳本如果被放在升級包中就成了Oracle 升級包惡意腳本���。
防護(hù)建議
1)無論是客戶端還是升級包都請從正規(guī)渠道下載���,并計(jì)算MD5值千萬別用破解版�,免費(fèi)的結(jié)果是省了小錢丟了數(shù)據(jù)���。
2)利用數(shù)據(jù)庫防火墻等類似產(chǎn)品對勒索病毒進(jìn)行傳播阻斷����,需要選用有上下文判斷能力的成熟防火墻產(chǎn)品���。
3)定期使用數(shù)據(jù)庫漏掃工具進(jìn)行查殺�,排除安全隱患����。
產(chǎn)品咨詢:4000 258 365 
