|
甲骨文公司對導(dǎo)致Oracle TNS Listener毒藥攻擊的零日漏洞處理方式,讓很多管理員感到困惑�,他們不知道該對數(shù)據(jù)庫采取什么安全措施。在本文中�����,我們將研究TNS Listener漏洞的運作原理��,分析Oracle的回應(yīng)以及企業(yè)是否應(yīng)該調(diào)整其網(wǎng)絡(luò)防御系統(tǒng)以更好地保護其數(shù)據(jù)庫�。
TNS Listener漏洞
這個特殊的漏洞很容易被利用,并允許攻擊者執(zhí)行中間人攻擊以獲取對數(shù)據(jù)庫服務(wù)器的完全控制:它的嚴重程度取決于對它的攻擊深度�����。該漏洞暴露了TNS Listener服務(wù),此服務(wù)將來自客戶端的連接請求路由到所有版本的Oracle數(shù)據(jù)庫的服務(wù)器中���。安全研究人員Joxean Loret在2008年發(fā)現(xiàn)了這個漏洞����,并向Oracle報告了此漏洞���。四年后��,他發(fā)布了該漏洞的細節(jié)信息����,因為他以為Oracle已經(jīng)解決了這個問題����。
然而,Oracle最近才針對漏洞CVE-2012-1675發(fā)布了一個帶外安全警告��。并且�,這只是一個解決方法,而不是一個補丁���,它提供了保護TNS Listener和抵御利用該漏洞發(fā)起的攻擊的指導(dǎo)信息�。2012年4月Oracle關(guān)鍵補丁更新也沒有包含針對該漏洞的補丁。Oracle對于發(fā)布解決方案而不是補丁����,給出了以下原因:
這個補丁很復(fù)雜,這將嚴重影響“向后移植(backport)”或傳統(tǒng)安裝��。
這個補丁是存在回歸問題的代碼的關(guān)鍵部分���。
客戶要求Oracle不要涵蓋安全補丁,因為該補丁將會增加回歸到CPU的機會���,而這可能危及數(shù)據(jù)庫的穩(wěn)定性��。
Oracle TNS Listener毒藥攻擊漏洞可能多年來都存在于所有版本的Oracle數(shù)據(jù)庫平臺中�����,但這個漏洞只有在下一個主要版本推出時才可能會被修復(fù)��。在那之前�����,管理員必須采用Oracle提供的解決方法����,沒有使用該解決方法的Oracle客戶很容易受到遠程未授權(quán)攻擊者的攻擊。
如果在這個解決方法發(fā)布之前可能已經(jīng)發(fā)生了攻擊呢���?不幸的事實是��,惡意攻擊者也許已經(jīng)獨立地發(fā)現(xiàn)這個Oracle TNS Listener毒藥攻擊漏洞�,并可能多年來都利用它來攻擊企業(yè)數(shù)據(jù)庫�����,而管理員可能從來都沒有發(fā)現(xiàn)�。
在過去,企業(yè)將不得不進行取證調(diào)查以及分析歸檔日志文件���,看看是否可以檢測到異常命令或者網(wǎng)絡(luò)流量來證明有人成功利用了這個漏洞�。原漏洞通知時間和Oracle采取的并非完全令人信服的行動時間這么久����,也讓一些安全專家質(zhì)疑Oracle還知道哪些其他漏洞而選擇不修復(fù)。
這種情況也闡明了為什么計算機安全專家在美國參議院軍事委員會新興威脅和功能小組委員會��,告訴成員要假設(shè)美國軍方計算機網(wǎng)絡(luò)已經(jīng)被滲透的原因�,基于這個前提�����,安全工作應(yīng)更專注于保護敏感數(shù)據(jù)��,而不是控制訪問權(quán)限���。這些意見不是這個漏洞的結(jié)果,而是基于大型企業(yè)發(fā)生的數(shù)據(jù)泄露事故數(shù)量�����,它們的系統(tǒng)已經(jīng)被感染幾個月甚至幾年�。
使用網(wǎng)絡(luò)外圍作為數(shù)據(jù)庫防御
盡管如此����,管理員仍然不應(yīng)該放棄其外圍防御。相反地��,在這些防御的基礎(chǔ)上�����,還應(yīng)該采用謹慎的網(wǎng)絡(luò)分段�����,并為數(shù)據(jù)庫連接強制使用SSL和傳輸層安全加密。預(yù)防永遠好過補救�,穩(wěn)妥的企業(yè)安全團隊應(yīng)該假定:在網(wǎng)絡(luò)某處存在被感染的系統(tǒng),惡意軟件正試圖通過該系統(tǒng)收集和滲出重要數(shù)據(jù)到遠程命令控制中心�����。
為了反映這一現(xiàn)實��,安全團隊必須重新調(diào)整其優(yōu)先次序��、資源和時間�����。他們應(yīng)該確保分配足夠的時間和技術(shù)(例如數(shù)據(jù)丟失防護)來尋找可疑內(nèi)部流量��,并在當出現(xiàn)不符合安全政策的請求時���,防止數(shù)據(jù)離開網(wǎng)絡(luò)���。
開源工具Hone可用于追蹤企業(yè)內(nèi)可疑惡意活動的來源。Hone由美國能源部下屬太平洋西北國家實驗室發(fā)布,它是一個網(wǎng)絡(luò)活動可視化工具�����,通過跟蹤流量到產(chǎn)生流量的應(yīng)用���,Hone能夠幫助網(wǎng)絡(luò)經(jīng)理更好地識別和理解攻擊�����,并幫助管理員更快地識別感染來源��。
隨著軟件代碼變得越來越復(fù)雜��,供應(yīng)商不能快速提供漏洞補丁的請擴將會越來越多。Oracle對TNS Listener毒藥攻擊的處理方式充分說明:在供應(yīng)商發(fā)布下一個修復(fù)補丁之前��,企業(yè)不能坐以待斃�。基于這個前提��,企業(yè)必須重新調(diào)整安全防御措施��,監(jiān)控和控制傳入和傳出流量�����,以彌補關(guān)鍵業(yè)務(wù)企業(yè)應(yīng)用的不足。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強�����!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
